Zero
Immagine: BitPay
Un hacker ha guadagnato il (legittimo) di accedere a una famosa libreria JavaScript e ha iniettato codice dannoso che ruba Bitcoin Bitcoin e fondi di liquidità memorizzati all’interno di BitPay il Copay portafoglio di applicazioni.
La presenza di questo codice maligno è stato identificato, la scorsa settimana, ma solo oggi i ricercatori hanno potuto capire che cosa pesantemente offuscato codice dannoso.
Il caricamento libreria il codice malevolo è denominato Evento in Streaming, JavaScript npm pacchetto per lavorare con Node.js lo streaming dei dati.
Questo è estremamente popolare libreria JavaScript, con oltre due milioni di euro settimanale di download npm.org repository, ma circa tre mesi fa, il suo autore originale, a causa della mancanza di tempo e interesse, ha consegnato il suo sviluppo su un altro programmatore di nome Right9ctrl.
Ma secondo un eagle-eyed utente che macchiato problemi con l’Evento-Stream, la scorsa settimana, Right9ctrl aveva subito avvelenato con la libreria di codice dannoso.
Right9ctrl rilasciato Evento-Stream 3.3.6 che contiene una nuova dipendenza, per la Flatmap-Stream library versione 0.1.1. Il Flatmap-Stream biblioteca v0.1.1 il codice dannoso risiede.
Secondo gli utenti su Twitter, GitHub, News Hacker, questo codice maligno giace inattivo fino a quando è utilizzato all’interno del codice sorgente di Copay, un desktop e mobile wallet dell’app sviluppata da Bitcoin piattaforma di pagamento BitPay.
Una volta che il codice maligno è stato compilato e spedito all’interno avvelenati il Copay wallet app, si rubano gli utenti portafoglio di informazioni, tra cui le chiavi private, e inviarlo al copayapi.URL host sulla porta 8080.
Si ritiene che l’hacker utilizza queste informazioni per vuoto delle vittime portafogli. In un post sul blog, il Copay squadra ha detto tutte le versioni tra 5.0.1 e 5.1.0 sono stati ufficialmente ritenuto infetto, e ha esortato gli utenti ad aggiornare alla versione 5.2.0 o poi.
Manutentori del npm.org JavaScript repository di pacchetti sono intervenute e tolto il Flatmap-Stream libreria dal loro sito, rendendolo inaccessibile a tutti i progetti in cui questo è stato caricato tramite il npm programma di installazione del pacchetto di utilità.
L’Evento dannoso-Stream v3.3.6 ha anche deposto dalla npm.org ma l’Evento, il Flusso di biblioteca è ancora disponibile. Questo perché Right9ctrl, nel tentativo di nascondere il suo codice dannoso, rilasciato versioni successive dell’Evento-Stream che non contengono codice dannoso.
Progetto manutentori che l’utilizzo di questi due librerie sono invitati ad aggiornare i loro alberi di dipendenza all’ultima versione disponibile-Evento-Stream versione 4.0.1. Questo link contiene un elenco di tutti i 3,900+ JavaScript npm pacchetti in cui l’Evento-Stream è caricato come conseguenza diretta o indiretta di dipendenza.
Questo manuale di aggiornamento/rimozione passaggio è necessario in quanto alcuni progetti sono configurati per la cache di tutte le dipendenze localmente, e potrebbe non innescare la solita console di errore quando si tenta di scaricare un inesistente npm pacchetto da npm.org quando la costruzione di un nuovo progetto di versione.
Questa non è la prima JavaScript/npm correlati a problema di sicurezza che ha avuto luogo negli ultimi anni. Nel luglio di quest’anno, un hacker ha compromesso il ESLint libreria di codice dannoso che è stato progettato per rubare i npm credenziali di altri sviluppatori.
Nel Maggio del 2018, un hacker ha cercato di nascondere una backdoor in un altro popolare npm pacchetto denominato getcookies.
Nel mese di agosto 2017, il team npm rimosso 38 JavaScript npm pacchetti che fosse scoperto a rubare, le variabili di ambiente di altri progetti, nel tentativo di raccogliere progetto-informazioni sensibili, come password o chiavi API.
Aggiornamento al 27 novembre 03:00 ET: Aggiornato per aggiungere il link al Copay post sul blog.
RELATIVI COPERTURA:
Google pagare framework JavaScript per implementare le prestazioni-primo codice diDeserializzazione problemi di colpire anche Ruby, non solo Java, PHP,.NET
WordPress team di lavoro su “cancellare le vecchie versioni esistenza su internet”Giovani donne dominano nel software, ma ancora affrontare battute d’arresto CNETGitHub avvisi di sicurezza ora il supporto Java e .I progetti in reteIl 10 lingue sviluppatori di utilizzare la maggior parte in progetti open source di TechRepublicNuovo DDoS botnet va dopo Hadoop enterprise serverDodici dannoso librerie Python trovato e rimosso dal PyPI
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0