Haker zakucava popularnu JavaScript biblioteku kako bi ukrao Bitcoin sredstva

  • Sep 04, 2023

Pogođeni su korisnici BitPay Copay aplikacije za desktop i mobilni novčanik. Ranije danas objavljeno je ažuriranje koje ne sadrži zlonamjerni kod.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Haker je dobio (legitiman) pristup popularnoj JavaScript biblioteci i ubacio zlonamjerni kod koji krade Bitcoin i Bitcoin Cash sredstva pohranjena unutar BitPay's Copay wallet aplikacija.

Prisutnost ovog zlonamjernog koda bila je identificiran prošli tjedan, ali tek su danas istraživači uspjeli shvatiti što zapravo radi taj jako zamagljeni zloćudni kod.

Biblioteka koja učitava zlonamjerni kod naziva se Event-Stream, JavaScript npm paket za rad s Strujanje podataka Node.js.

Također: Mlade žene dominiraju u softveru, ali se i dalje suočavaju s neuspjesima CNET

Ovo je iznimno popularna JavaScript biblioteka, s više od dva milijuna tjednih preuzimanja na npmjs.com repozitoriju, ali oko prije tri mjeseca njegov je izvorni autor, zbog nedostatka vremena i interesa, njegov razvoj prepustio drugom programeru imenovani

Desno9ctrl.

Ali prema riječima korisnika koji je prošlog tjedna primijetio probleme s Event-Streamom, Right9ctrl je odmah zatrovao knjižnicu zlonamjernim kodom.

Right9ctrl je izdao Event-Stream 3.3.6 koji je sadržavao novu ovisnost --za verziju 0.1.1 biblioteke Flatmap-Stream. Knjižnica Flatmap-Stream v0.1.1 mjesto je gdje se nalazi zlonamjerni kod.

Prema korisnicima na Twitteru, GitHubu i Hacker Newsu, ovaj zloćudni kod miruje dok se ne upotrijebi unutar izvornog koda Copay, aplikacija za desktop i mobilni novčanik koju je razvila Bitcoin platforma za plaćanje BitPay.

Nakon što se zlonamjerni kod kompajlira i pošalje unutar zatrovane verzije aplikacije novčanika Copay, ukrast će informacije o novčaniku korisnika, uključujući privatne ključeve, i pošaljite ga na copayapi.domaćin URL na priključku 8080.

Vjeruje se da haker koristi te podatke za pražnjenje novčanika žrtava. U post na blogu, Copay tim rekao je da se sve verzije između 5.0.1 i 5.1.0 službeno smatraju zaraženima i pozvao je korisnike da ažuriraju na verziju 5.2.0 ili noviju.

Održavači repozitorija JavaScript paketa npmjs.com također su intervenirali i skinuti biblioteku Flatmap-Stream s njihove stranice, čineći je nedostupnom za sve projekte u kojima se to učitavalo putem uslužnog programa za instalaciju paketa npm.

Zlonamjerni Event-Stream v3.3.6 također je uklonjen s npmjs.com, ali je biblioteka Event-Stream još uvijek dostupna. To je zato što je Right9ctrl, u pokušaju da sakrije svoj maliciozni kod, izdao sljedeće verzije Event-Streama koje nisu sadržavale zlonamjerni kod.

Održavateljima projekta koji koriste ove dvije biblioteke savjetuje se da ažuriraju svoja stabla ovisnosti na najnoviju dostupnu verziju --Event-Stream verziju 4.0.1. Ovaj link sadrži popis svih 3900+ JavaScript npm paketa gdje se Event-Stream učitava kao izravna ili neizravna ovisnost.

Ovaj korak ručnog ažuriranja/uklanjanja je neophodan jer su neki projekti konfigurirani za lokalno predmemoriranje svih ovisnosti i možda neće pokreću uobičajenu pogrešku konzole pri pokušaju preuzimanja nepostojećeg npm paketa s npmjs.com prilikom izrade novog projekta verzija.

Ovo nije prvi sigurnosni problem povezan s JavaScriptom/npm-om koji se pojavio proteklih godina. U srpnju ove godine, haker je kompromitirao biblioteku ESLint zlonamjernim kodom koji je dizajniran za krađu npm vjerodajnica drugih programera.

Također: 10 jezika koje programeri najviše koriste u projektima otvorenog koda TechRepublic

U svibnju 2018, haker je pokušao sakriti backdoor u drugom popularnom npm paketu pod nazivom getcookies.

U kolovozu 2017npm tim uklonio je 38 JavaScript npm paketa koji su uhvaćeni u krađi varijabli okoline iz drugih projekata, u pokušaju prikupljanja projektno osjetljivih podataka, kao što su lozinke ili API ključevi.

Ažuriranje 27. studenog u 03:00 ET: Ažurirano za dodavanje poveznice na Copayjev post na blogu.

Ovo su najgori hakiranja, kibernetički napadi i povrede podataka u 2018

POVEZANE PRIČE:

  • Google će platiti JavaScript okvirima za implementaciju koda koji je na prvom mjestu
  • Problemi s deserijalizacijom također utječu na Ruby, ne samo na Javu, PHP i .NET
  • WordPress tim radi na "brisanju starijih verzija s interneta"
  • GitHub sigurnosna upozorenja sada podržavaju Java i .NET projekte
  • Novi DDoS botnet ide nakon Hadoop poslovnih poslužitelja
  • Dvanaest zlonamjernih Python biblioteka pronađeno je i uklonjeno iz PyPI-ja