События

В популярной библиотеке для Node.js обнаружен бэкдор

В одной из зависимостей библиотеки Event-Stream, используемой во многих крупных проектах, обнаружен вредоносный код, предназначенный для хищения криптовалюты и проведения атак на связанные с виртуальными средствами сервисы.

Event-Stream – чрезвычайно популярная библиотека, число ежедневных загрузок которой из репозитория NPM насчитывает около 2 млн. Примерно три месяца назад создатель библиотеки Доминик Тарр (Dominic Tarr) из-за отсутствия времени и интереса передал доступ к репозиторию Event-Stream и право публикации в NPM другому разработчику - Right9ctrl, который практически сразу добавил в библиотеку пакет Flatmap-Stream 0.1.1, содержавший вредоносный код.

Бэкдор использовался для кражи закрытых ключей от криптовалютных кошельков Copay, разработанных компанией BitPay, занимающейся обработкой биткойн-платежей. Судя по всему, Right9ctrl использовал украденные ключи для опустошения кошельков. Вредоносный код подменял функцию Credentials.getKeys, используемую для получения расшифрованных ключей в мобильной и декстопной версиях приложения Copay. При наличии в кошельке криптовалюты Bitcoin и Bitcoin Cash связанные с кошельками ключи и используемые для их дешифрования пароли отправлялись на подконтрольный злоумышленникам сервер copayapi.host. Пользователи могут провести проверку системы на уязвимость к атаке с помощью команды «npm ls event-stream flatmap-stream». Если в выводе фигурирует библиотека «flatmap-stream@0.1.1», значит, система скомпрометирована.

Предположительно, уязвимыми являются все версии Copay, представленные в сентябре, октябре и ноябре текущего года. Команда BitPay уже выпустила версию Copay 5.2.2 без привязки к Event-Stream и Flatmap-Stream. В настоящее время вредоносная версия пакета Flatmap-Stream и версия Event-Stream 3.3.6 удалены из NPM, однако в репозитории доступны «чистые» версии Event-Stream. Полный список проектов, так или иначе связанных с Event-Stream и производными библиотеками, доступен здесь .

Источник

Автор: Сергей Куприянов
6.12.2018 (06:45)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.