黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币

尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得 ( 合法 ) 访问热门 JavaScript 库,通过注射恶意代码从 BitPay 的 Copay 钱包应用中窃取比特币和比特币现金。

这个可以加载恶意程序的 JavaScrip 库叫做 Event-Stream,非常受开发者欢迎,在 npm.org 存储库上每周下载量超过 200 万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员 Right9ctrl。Event-Stream,是一个用于处理 Node.js 流数据的 JavaScript npm 包。

根据 Twitter、GitHub 和 Hacker News 上用户反馈,该恶意程序在默认情况下处于休眠状态,不过当 Copay 启动(由比特币支付平台 BitPay 开发的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息,并将其发送至 copayapi.host 的 8080 端口上。

目前已经确认 9 月至 11 月期间,所有版本的 Copay 钱包都被认为已被感染。今天早些时候,BitPay 团队发布了 Copay v5.2.2,已经删除 Event-Stream 和 Flatmap-Stream 依赖项。恶意的 Event-Stream v3.3.6 也已从 npm.org 中删除,但 Event-Stream 库仍然可用。这是因为 Right9ctrl 试图删除他的恶意代码,发布了不包含任何恶意代码的后续版本的 Event-Stream。

建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本 --Event-Stream 版本 4.0.1。此链接包含所有 3,900+ JavaScript npm 软件包的列表,其中 Event-Stream 作为直接或间接依赖项加载。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(myzaker)及本页链接。原文链接 https://app.myzaker.com/news/article.php?pk=5bfca4be77ac6461120c77ae

白帽汇安全研究院转载2018-11-27 10:51:34 myzaker 1579