2018-11-27 09:24 |
Модуль Node.js под названием “event-stream”, используемый миллионами веб-приложений, в том числе биткоин-кошельком Copay, предположительно, был взломан, сообщает CCN.
Пользователь GitHub, проявлявший мало активности на портале, запросил права на публикацию в библиотеке “event-stream” у её предыдущего модератора Доминика Тарра, который заявил, что не занимается ею на протяжении нескольких лет и передал управление пользователю под ником right9ctrl.
Согласно жалобе на GitHub, новый модератор внедрил в библиотеку вредоносный код, позволяющий экспортировать приватные ключи из приложений, использующих модули “event-stream” и “copay-dash”.
Разработчик Айртон Спарлинг объясняет:
«Он добавил “flatmap-stream” (1 обновление с тремя версиями, последняя удаляет элемент), который является элементом, нацеленным на ps-tree. После этого почти в то же самое время он публикует новую версию. Через 3 дня вышла другая версия без вредоносного элемента, что позволило ему очистить репозиторий от присутствия “flatmap-stream”, но при этом все версии 3.x (миллионы установок за неделю) остаются в зоне риска».Другими словами, разработчик внедрил в модуль вредоносный элемент, а затем исправил проблему, чтобы избежать обнаружения, однако пользователи, успевшие скачать заражённую версию, всё ещё могут пострадать. Код Copay, написанный многомиллионной процессинговой компанией BitPay, используется во множестве сторонних криптовалютных приложений, что само по себе даёт основания для новых вопрос.
Создатель Dogecoin Джексон Палмер так прокомментировал сложившуюся ситуацию:
This is one of the major issues with JavaScript-based cryptocurrency wallets with heavy up-stream dependencies coming from NPM. @BitPay essentially trusted all the up-stream developers to never inject malicious code into their wallet.@dominictarr also let the attacker in, sadly
— Jackson Palmer (@ummjackson) November 26, 2018
«Это одна из основных проблем криптовалютных кошельков на базе JavaScript, в значительной степени полагающихся на менеджер пакетов NPM. BitPay, по сути, доверились тому, что во всю стриминговую разработку и их кошелёк никогда не будет добавлен вредоносный элемент. Доминик Тарр, к сожалению, тоже позволил злоумышленнику получить доступ».Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме
Запись Множество биткоин-кошельков могут быть скомпрометированы впервые появилась Криптовалюта.Tech.
Аналог Notcoin - Blum - Играй и зарабатывай Монеты