Nul
Afbeelding: BitPay
Een hacker heeft opgedaan (legitieme) toegang tot een populaire JavaScript-bibliotheek en heeft geïnjecteerd kwaadaardige code die steelt Bitcoin en Bitcoin Geld opgeslagen in BitPay de Copay portemonnee apps.
De aanwezigheid van deze schadelijke code is herkend, vorige week, maar alleen vandaag hebben onderzoekers in staat is te begrijpen wat de zwaar obfuscated kwaadaardige code precies doet.
Het laden van de bibliotheek van de kwaadaardige code met de naam van Event-Stream, een JavaScript npm-pakket voor het werken met Node.js streaming data.
Dit is een zeer populaire JavaScript-bibliotheek, met meer dan twee miljoen wekelijkse downloads npm.org archief, maar over drie maanden geleden, de oorspronkelijke auteur, door een gebrek aan tijd en interesse, overhandigde haar ontwikkeling naar een andere programmeur met de naam Right9ctrl.
Maar volgens een eagle-eyed gebruiker die gespot problemen met Gebeurtenis-Stream vorige week, Right9ctrl had onmiddellijk vergiftigd de bibliotheek met kwaadaardige code.
Right9ctrl uitgebracht Event-Stream 3.3.6 die een nieuwe afhankelijkheid –voor de Flatmap-Stream bibliotheek versie 0.1.1. De Flatmap-Stream bibliotheek v0.1.1 is waar de kwaadaardige code zich bevindt.
Volgens gebruikers op Twitter, GitHub, en Hacker News, deze kwaadaardige code legt de slapende totdat het gebruikt wordt binnen de source-code van Copay, een desktop en mobile wallet-app is ontwikkeld door Bitcoin betaling platform BitPay.
Zodra de schadelijke code is samengesteld en verzonden binnen vergiftigd versies van de Copay portefeuille-app van het stelen van gebruikers’ portemonnee informatie, met inbegrip van private sleutels, en stuur het naar de copayapi.host URL op poort 8080.
Er wordt aangenomen dat de hacker wordt deze informatie gebruikt voor het legen van de slachtoffers portemonnee. Voor het moment, het is veilig om te geloven dat alle versies van de Copay portemonnee uitgebracht in September, oktober, en deze maand, worden geacht te zijn besmet.
Eerder vandaag, de BitPay team Copay v5.2.2 verwijder de Event-Stream en Flatmap-Stream afhankelijkheden.
Beheerders van de npm.org JavaScript package repository zijn ook tussengekomen op en af de Flatmap-Stream bibliotheek van hun site, waardoor het niet toegankelijk voor de projecten waar deze wordt geladen via het npm package installer utility.
De schadelijke Gebeurtenis-Stream v3.3.6 ook is weggehaald van npm.org maar de Gebeurtenis-Stream bibliotheek is nog steeds beschikbaar. Dit is omdat Right9ctrl, in een poging om te verbergen van zijn kwaadaardige code, uitgebracht in latere versies van de Event-Stream die niet bevat geen schadelijke code.
Project ontwikkelaars die gebruik maken van deze twee bibliotheken worden geadviseerd tot een update van hun afhankelijkheid van de bomen naar de nieuwste versie beschikbaar –Event-Stream versie 4.0.1. Deze link bevat een lijst van alle 3,900+ JavaScript npm pakketten waar de Gebeurtenis-Stream wordt geladen als een directe of indirecte afhankelijkheid.
Deze handleiding update/verwijdering is noodzakelijk, omdat sommige projecten worden geconfigureerd om de cache op alle afhankelijkheden lokaal, en kan niet leiden tot de gebruikelijke console fout wanneer u probeert te downloaden van een niet-bestaand pakket van npm npm.org bij het bouwen van een nieuw project versie.
Dit is niet de eerste JavaScript/npm-gerelateerde security probleem die heeft plaatsgevonden in de afgelopen jaren. In juli van dit jaar, een hacker gekraakt, is de ESLint bibliotheek met kwaadaardige code die is ontworpen om te stelen van de npm-referenties van andere ontwikkelaars.
In Mei 2018, een hacker probeerde te verbergen een backdoor in een ander populair npm-pakket met de getcookies.
In augustus 2017, de npm-team verwijderd 38 JavaScript npm pakketten die werden betrapt op het stelen van omgevingsvariabelen van andere projecten, in een poging om het verzamelen van project-gevoelige informatie, zoals wachtwoorden of API-sleutels.
VERWANTE DEKKING:
Google betaalt JavaScript frameworks voor het implementeren van prestatie-codeDeserialisatie problemen zijn ook van invloed op Ruby, niet alleen Java -, PHP-en .NETTO
WordPress team werken aan “het afvegen van oudere versies van het bestaan op het internet”Jonge vrouwen domineren in de software, maar nog steeds geconfronteerd met tegenslagen CNETGitHub veiligheidswaarschuwingen nu ondersteuning biedt voor Java-en .NET-projectenvan De 10 talen ontwikkelaars gebruiken de meeste open source-projecten TechRepublicNieuwe DDoS-botnet gaat na Hadoop enterprise-serversTwaalf schadelijke Python bibliotheken gevonden en verwijderd uit PyPI
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0