Nul
Billede: BitPay
En hacker har fået (lovlig) adgang til populære JavaScript-bibliotek, og har injiceret skadelig kode, der stjæler Bitcoin og Bitcoin Kontante midler, der er gemt inde BitPay er Copay tegnebog apps.
Tilstedeværelsen af denne skadelig kode, der blev identificeret i sidste uge, men først i dag har forskere været i stand til at forstå, hvad de stærkt korrumperet skadelig kode, der faktisk gør.
Biblioteket ilægning af ondsindet kode, der er opkaldt Event-Stream, en JavaScript npm-pakke for at arbejde med Node.js streaming af data.
Dette er en yderst populære JavaScript-bibliotek, med over to millioner ugentlige downloads på npm.org repository, men om tre måneder siden dens oprindelige forfatter, på grund af manglende tid og interesse, rakte sin udvikling over til en anden programmør ved navn Right9ctrl.
Men ifølge en ørn-eyed bruger, der har opdaget problemer med Event-Stream i sidste uge, Right9ctrl havde umiddelbart forgiftet bibliotek med skadelig kode.
Right9ctrl udgivet Event-Stream-3.3.6 og som indeholdt en ny afhængighed –for Flatmap-Stream bibliotek version 0.1.1. Den Flatmap-Stream bibliotek v0.1.1 er, hvor den ondsindede kode, der er bosat.
Ifølge brugere på Twitter, GitHub, og Hacker News, denne ondsindede kode lægger i dvale, indtil det er brugt inde i kildekoden af Copay, en desktop og mobile wallet-app, der er udviklet af Bitcoin betaling platform BitPay.
Når den skadelige kode er blevet udarbejdet og afsendt inde forgiftet versioner af Copay wallet-app, det vil stjæle brugere’ wallet oplysninger, herunder private nøgler, og sende det til copayapi.vært URL-adresse på port 8080.
Det menes at hackeren bruger disse oplysninger til at tømme ofre’ tegnebøger. I et blog-indlæg, Copay team sagt alle versioner mellem 5.0.1 og 5.1.0 blev officielt anses for smittet, og opfordrede brugerne til at opdatere til version 5.2.0 eller senere.
Vedligeholdere af npm.org JavaScript package repository har også grebet ind og taget ned Flatmap-Stream bibliotek fra deres hjemmeside, hvilket gør det utilgængelige for alle de projekter, hvor dette var ved at blive indlæst via npm pakke installationsprogrammet.
Den skadelige Hændelse-Stream v3.3.6 har også været taget ned fra npm.org, men Begivenheden-Stream bibliotek er stadig tilgængelig. Dette er fordi Right9ctrl, i et forsøg på at skjule sin skadelig kode, udgivet efterfølgende versioner af Event-Stream, der ikke indeholder skadelig kode.
Projektet vedligeholder, der bruger disse to biblioteker anbefales at opdatere deres afhængighed træer til den nyeste tilgængelige version –Event-Stream version 4.0.1. Dette link indeholder en liste over alle de 3,900+ JavaScript npm-pakker, hvor Event-Stream er lagt som et direkte eller indirekte afhængighed.
Denne manuel opdatering/fjernelse trin er nødvendigt, da nogle projekter, der er konfigureret til at cache alle afhængigheder lokalt, og kunne ikke udløse den sædvanlige konsol fejl, når du forsøger at downloade en ikke-eksisterende npm-pakke fra npm.org når man bygger et nyt projekt-version.
Det er ikke første JavaScript/npm-relaterede sikkerhedsproblem, der har fundet sted i det forløbne år. I juli dette år, kan en hacker kompromitteret ESLint bibliotek med skadelig kode, der var designet til at stjæle npm prøvelse af andre udviklere.
I Maj 2018, en hacker, der forsøgte at skjule en bagdør i en anden populær npm pakke kaldet getcookies.
I August 2017, npm team fjernet 38 JavaScript npm pakker, der blev grebet i at stjæle, miljø-variabler fra andre projekter, i et forsøg på at indsamle projekt-følsomme oplysninger, såsom adgangskoder eller API-keys.
Opdatering på November 27, 03:00 ET: Opdateret for at tilføje link til Copay ‘ s blog-indlæg.
RELATEREDE DÆKNING:
Google til at betale JavaScript-frameworks til at implementere performance-første kodeDeserialization spørgsmål også påvirke Ruby, ikke bare Java, PHP, og .NET
WordPress team arbejder på at “tørre ældre versioner fra eksistens på internettet”Unge kvinder dominerer i software, men står stadig over for tilbageslag CNETGitHub sikkerhedsadvarsler nu understøtter Java .NET-projekterDe 10 sprog udviklere bruger mest i open source-projekter, TechRepublicNye DDoS-botnet går efter Hadoop enterprise servereTolv ondsindede Python-biblioteker fundet og fjernet fra PyPI
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0