Модуль Node.js под названием “event-stream”, используемый в миллионах веб-приложений, включая биткоин-кошелек Copay компании BitPay, был скомпрометирован.
Пользователь GitHub, проявлявший мало кодинговой активности, запросил права на публикацию в библиотеке “event-stream” у её предыдущего модератора Dominic Tarr, который заявил, что не занимается репозиторием уже на протяжении нескольких лет, передав управление пользователю под ником right9ctrl.
Библиотека «event-stream» используется во многих приложениях Node.js. Согласно жалобе на GitHub, новый модератор right9ctrl внедрил в библиотеку вредоносный код, позволяющий экспортировать приватные ключи из приложений, использующих модули “event-stream” и “copay-dash”.
“Он добавил “flatmap—stream” (1 обновление с тремя версиями, последняя удаляет элемент), который является элементом, нацеленным на ps—tree. После этого почти в то же самое время он публикует новую версию. Через 3 дня вышла другая версия без вредоносного элемента, что позволило ему очистить репозиторий от присутствия “flatmap—stream”, но при этом все версии 3.x (миллионы установок за неделю) остаются в зоне риска,” – пишет Ayrton Sparling.
Разработчик внедрил в модуль вредоносный элемент, а затем исправил проблему, чтобы избежать обнаружения, однако пользователи, успевшие скачать заражённую версию, всё ещё могут пострадать.
Позднее команда BitPay опубликовала заявление относительно обнаруженной уязвимости. Команда подтвердила, что вредоносный код был внедрен в приложения Copay и BitPay версий 5.0.2 — 5.1.0. Согласно заявлению компании, приложению BitPay вредоносный код угрозы не несет.
“Наша команда продолжает исследовать эту проблему и степень уязвимости. Если вы используете любую версию Copay от 5.0.2 до 5.1.0, вы не должны запускать или открывать приложение. Мы выпустили обновленную версию 5.2.0, она доступна для всех пользователей кошельков Copay и BitPay в магазинах приложений,” – говорится в заявлении.
Команда BitPay добавила, что приватные ключи в кошельках могут быть скомпрометированы, поэтому пользователи должны переместить средства на новые кошельки версии 5.2.0. При перемещении средств на новые кошельки пользователям не следует импортировать резервные фразы из двенадцати слов (которые соответствуют потенциально скомпрометированным приватным ключам). Пользователи должны сначала обновить свои кошельки версий 5.0.2 — 5.1.0, а затем отправить все средства с кошельков на совершенно новый кошелек версии 5.2.0, используя функцию Send Max для транзакций.
