Sono interessati gli utenti delle app desktop e di portafoglio mobile Copay di BitPay. Oggi è stato rilasciato un aggiornamento che non contiene il codice dannoso.
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
Un hacker ha ottenuto l'accesso (legittimo) a una popolare libreria JavaScript e ha iniettato un codice dannoso che ruba i fondi Bitcoin e Bitcoin Cash archiviati nelle app del portafoglio Copay di BitPay.
La presenza di questo codice dannoso era identificato la settimana scorsa, ma solo oggi i ricercatori sono riusciti a capire cosa fa effettivamente il codice dannoso fortemente offuscato.
La libreria che carica il codice dannoso si chiama Event-Stream, un pacchetto JavaScript npm con cui lavorare Dati in streaming Node.js.
Anche: Le giovani donne dominano nel software, ma devono ancora affrontare battute d’arresto CNET
Questa è una libreria JavaScript estremamente popolare, con oltre due milioni di download settimanali sul repository npmjs.com, ma circa tre mesi fa, il suo autore originale, per mancanza di tempo e di interesse, ne ha affidato lo sviluppo a un altro programmatore di nome 9ctrl destro.
Ma secondo un utente attento che ha notato problemi con Event-Stream la scorsa settimana, Right9ctrl aveva immediatamente avvelenato la libreria con codice dannoso.
Right9ctrl ha rilasciato Event-Stream 3.3.6 che conteneva una nuova dipendenza --per la libreria Flatmap-Stream versione 0.1.1. La libreria Flatmap-Stream v0.1.1 è il luogo in cui risiede il codice dannoso.
Secondo gli utenti di Twitter, GitHub e Hacker News, questo codice dannoso rimane dormiente finché non viene utilizzato all'interno del codice sorgente di Copagamento, un'app di portafoglio desktop e mobile sviluppata dalla piattaforma di pagamento Bitcoin BitPay.
Una volta che il codice dannoso è stato compilato e inviato all'interno di versioni avvelenate dell'app portafoglio Copay, ruberà le informazioni del portafoglio degli utenti, comprese le chiavi privatee inviarlo a copayapi.host URL sulla porta 8080.
Si ritiene che l'hacker utilizzi queste informazioni per svuotare i portafogli delle vittime. In un post sul blog, il team di Copay ha affermato che tutte le versioni comprese tra 5.0.1 e 5.1.0 sono state ufficialmente considerate infette e ha invitato gli utenti ad aggiornarsi alla versione 5.2.0 o successiva.
Sono intervenuti anche i manutentori del repository dei pacchetti JavaScript npmjs.com e abbattuto la libreria Flatmap-Stream dal loro sito, rendendola inaccessibile a tutti i progetti in cui veniva caricata tramite l'utilità di installazione del pacchetto npm.
Anche il malware Event-Stream v3.3.6 è stato rimosso da npmjs.com, ma la libreria Event-Stream è ancora disponibile. Questo perché Right9ctrl, nel tentativo di nascondere il suo codice dannoso, ha rilasciato versioni successive di Event-Stream che non contenevano alcun codice dannoso.
Si consiglia ai manutentori del progetto che utilizzano queste due librerie di aggiornare i propri alberi delle dipendenze all'ultima versione disponibile --Event-Stream versione 4.0.1. Questo link contiene un elenco di tutti gli oltre 3.900 pacchetti JavaScript npm in cui Event-Stream viene caricato come dipendenza diretta o indiretta.
Questo passaggio di aggiornamento/rimozione manuale è necessario poiché alcuni progetti sono configurati per memorizzare nella cache tutte le dipendenze localmente e potrebbero non farlo attiva il solito errore della console quando si tenta di scaricare un pacchetto npm inesistente da npmjs.com durante la creazione di un nuovo progetto versione.
Questo non è il primo problema di sicurezza relativo a JavaScript/npm che si è verificato negli ultimi anni. Nel luglio di quest'anno, un hacker ha compromesso la libreria ESLint con codice dannoso progettato per rubare le credenziali npm di altri sviluppatori.
Anche: I 10 linguaggi che gli sviluppatori utilizzano maggiormente nei progetti open source TechRepublic
Nel maggio 2018, un hacker ha tentato di nascondere una backdoor in un altro popolare pacchetto npm denominato getcookies.
Nell'agosto 2017, il team npm ha rimosso 38 pacchetti JavaScript npm scoperti a rubare variabili di ambiente da altri progetti, nel tentativo di raccogliere informazioni sensibili sul progetto, come password o API chiavi.
Aggiornamento il 27 novembre, 03:00 ET: Aggiornato per aggiungere il collegamento al post sul blog di Copay.
Questi sono gli hack, gli attacchi informatici e le violazioni dei dati peggiori del 2018
STORIE CORRELATE:
- Google pagherà i framework JavaScript per implementare il codice incentrato sulle prestazioni
- I problemi di deserializzazione riguardano anche Ruby, non solo Java, PHP e .NET
- Il team di WordPress sta lavorando per "cancellare le versioni precedenti dall'esistenza su Internet"
- Gli avvisi di sicurezza GitHub ora supportano i progetti Java e .NET
- La nuova botnet DDoS prende di mira i server aziendali Hadoop
- Dodici librerie Python dannose trovate e rimosse da PyPI