В популярной библиотеке для Node.js обнаружен бэкдор

В популярной библиотеке для Node.js обнаружен бэкдор

Бэкдор использовался для кражи закрытых ключей от криптовалютных кошельков Copay.

image

В одной из зависимостей библиотеки Event-Stream, используемой во многих крупных проектах, обнаружен вредоносный код, предназначенный для хищения криптовалюты и проведения атак на связанные с виртуальными средствами сервисы.

Event-Stream – чрезвычайно популярная библиотека, число ежедневных загрузок которой из репозитория NPM насчитывает около 2 млн. Примерно три месяца назад создатель библиотеки Доминик Тарр (Dominic Tarr) из-за отсутствия времени и интереса передал доступ к репозиторию Event-Stream и право публикации в NPM другому разработчику - Right9ctrl, который практически сразу добавил в библиотеку пакет Flatmap-Stream 0.1.1, содержавший вредоносный код.

Бэкдор использовался для кражи закрытых ключей от криптовалютных кошельков Copay, разработанных компанией BitPay, занимающейся обработкой биткойн-платежей. Судя по всему, Right9ctrl использовал украденные ключи для опустошения кошельков. Вредоносный код подменял функцию Credentials.getKeys, используемую для получения расшифрованных ключей в мобильной и декстопной версиях приложения Copay. При наличии в кошельке криптовалюты Bitcoin и Bitcoin Cash связанные с кошельками ключи и используемые для их дешифрования пароли отправлялись на подконтрольный злоумышленникам сервер copayapi.host. Пользователи могут провести проверку системы на уязвимость к атаке с помощью команды «npm ls event-stream flatmap-stream». Если в выводе фигурирует библиотека «flatmap-stream@0.1.1», значит, система скомпрометирована.

Предположительно, уязвимыми являются все версии Copay, представленные в сентябре, октябре и ноябре текущего года. Команда BitPay уже выпустила версию Copay 5.2.2 без привязки к Event-Stream и Flatmap-Stream. В настоящее время вредоносная версия пакета Flatmap-Stream и версия Event-Stream 3.3.6 удалены из NPM, однако в репозитории доступны «чистые» версии Event-Stream. Полный список проектов, так или иначе связанных с Event-Stream и производными библиотеками, доступен здесь .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

  • nslookup copayapi.host 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: Name: copayapi.host Address: 127.0.0.1
  • npm ls event-stream flatmap-stream If 'npm' is not a typo you can use command-not-found to lookup the package that contains it, like this: cnf npm
  • neher stavitj vsjaka kaka na sistemi !!!
Комментарии для сайта Cackle