Noll
Bild: BitPay
En hacker har fått en (legitim) tillgång till populära JavaScript-bibliotek och har injicerat skadlig kod som stjäl Bitcoin och Bitcoin Kontanta medel som förvaras inuti BitPay är Copay plånbok apps.
Förekomsten av denna skadliga kod som identifierades i förra veckan, men bara i dag har forskare kunnat förstå vad som kraftigt förvrängd skadlig kod som faktiskt inte.
Biblioteket laddar skadlig kod som heter Event-Stream, en JavaScript npm paket för att arbeta med Node.js strömmande data.
Detta är en mycket populär JavaScript-bibliotek med över två miljoner nedladdningar varje vecka på npm.org arkiv, men för ungefär tre månader sedan, dess ursprungliga författaren, på grund av brist på tid och intresse, överlämnas dess utveckling över till en annan programmerare som heter Right9ctrl.
Men enligt en eagle-eyed användare som såg problem med Händelse-Stream förra veckan, Right9ctrl hade omedelbart förgiftad biblioteket med skadlig kod.
Right9ctrl släppt Händelse-Stream 3.3.6 som innehöll ett nytt beroende-för det Flatmap-Stream-biblioteket, version 0.1.1. Den Flatmap-Stream bibliotek v0.1.1 är där den skadliga koden är bosatt.
Enligt användare på Twitter, GitHub, och Hacker News, denna skadliga kod som innehåller vilande tills det används inne i källkoden för Copay, en stationär och mobil plånbok app utvecklad av Bitcoin betalning plattform BitPay.
När den skadliga koden har sammanställts och skickats inne förgiftad versioner av Copay wallet-appen, den kommer att stjäla användares plånbok information, inklusive privata nycklar, och skicka det till copayapi.värd URL på port 8080.
Man tror att hackare använder denna information för att tömma offrens plånböcker. I ett blogginlägg, Copay laget sa alla versioner mellan 5.0.1 och 5.1.0 var officiellt anses vara smittade, och uppmanade användarna att uppdatera till version 5.2.0 eller senare.
Ansvariga för npm.org JavaScript paket förrådet har också ingripit och tagit ner Flatmap-Stream-bibliotek från deras sida, vilket gör den oåtkomlig för alla projekt där det var som laddas via npm package installer för.
Den skadliga Händelse-Stream-v3.3.6 har också tagits ner från npm.org men Event-Stream-bibliotek är fortfarande tillgängliga. Detta beror på att Right9ctrl, i ett försök att dölja sin skadlig kod, som släpptes senare versioner av Händelsen-Stream som inte innehåller någon skadlig kod.
Projektet utvecklare som använder dessa två bibliotek rekommenderas att uppdatera sitt beroende träd till den senaste tillgängliga versionen –Händelse-Stream-version 4.0.1. Denna länk innehåller en lista över alla 3,900+ JavaScript npm paket där Event-Stream är laddad som en direkt eller indirekt beroende.
Den här handboken uppdatera/ta bort steget är nödvändigt eftersom vissa projekt är konfigurerad för att cachelagra alla beroenden lokalt, och kan inte utlösa den vanliga konsolen fel när du försöker hämta en icke-existerande paket från npm npm.org när man bygger ett nytt projekt versionen.
Detta är inte första JavaScript/npm-relaterade säkerhetsproblem som har skett under de senaste åren. I juli detta år, en hacker äventyras ESLint bibliotek med skadlig kod som var utformad för att stjäla npm referenser av andra utvecklare.
I Maj 2018, en hacker försökte dölja en bakdörr i en annan populär npm-paketet heter getcookies.
I augusti 2017, npm team bort 38 JavaScript npm paket som ertappades med att stjäla miljövariabler från andra projekt, i ett försök att samla projekt-känslig information, såsom lösenord och API nycklar.
Uppdatering den 27 November, 03:00 ET: Uppdaterad för att lägga till länk till Copay blogg inlägg.
RELATERADE TÄCKNING:
Google betalar JavaScript-ramverk för att genomföra prestanda-kod för förstaAvserialisering frågor också påverka Ruby, inte bara Java, PHP, och .NET
WordPress team arbetar på “torka äldre versioner från existens på internet”Unga kvinnor dominerar i programvara, men fortfarande möter motgångar CNETGitHub säkerhetsvarningar som nu har stöd för Java och .ÅRETS projektDen 10 språk utvecklare använder mest i open source-projekt TechRepublicNya DDoS-botnät går efter Hadoop enterprise-servrarTolv skadliga Python bibliotek som hittas och tas bort från PyPI
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0