Biblioteca de JavaScript utilizada para ataque furtivo en la cartera de Copco Bitcoin

Una carga útil misteriosa que se introdujo en una biblioteca de JavaScript enormemente popular parece haber sido un complot deliberado para saquear bitcoins de una billetera de cryptocoin móvil conocida como Copay , de una compañía llamada BitPay.

En septiembre de 2018, el autor de un popular paquete de utilidades Node.js llamado event-stream , utilizado para enviar y recibir datos, entregó las riendas a un nuevo mantenedor que se encontraba bajo el control de Right9ctrl.

Días después, el nuevo mantenedor lanzó una actualización del paquete, versión 3.3.6, a la que había agregado código adicional de un paquete aparentemente relacionado llamado flatmap-stream .

A principios de octubre, apareció otra actualización de event-stream , como si Right9ctrl se lanzara con entusiasmo a su nuevo papel al frente del proyecto …

… excepto que, el 20 de noviembre de 2018, alguien que investigaba un error en event-stream descubrió un malware de robo de flatmap-stream , oculto en el flatmap-stream .

Cierra tus Bitcoins

Debido a event-stream se utiliza en miles de proyectos, la prioridad del trabajo de carga útil era una prioridad urgente.

Esta semana, después de una investigación frenética , las víctimas fueron reveladas: usuarios del software Copyp cryptowallet.

Alivio de cue, mezclado con frustración, para cualquier persona no objetivo. El desarrollador Chris Northwood escribió :

Hemos borrado nuestras cejas cuando hemos salido con la suya, no teníamos códigos maliciosos ejecutándose en nuestras máquinas dev, nuestros servidores CI o en prod. Esta vez.

¿Qué hacer?

Aquí hay dos grupos de usuarios preocupados: los desarrolladores utilizan event-stream y los clientes que usan la billetera de Copay. Es probable que ambos grupos se pregunten qué es seguro y qué no.

El 26 de noviembre de 2018, NPM flatmap-stream versiones comprometidas de flatmap-stream y event-stream .

Curiosamente, la versión 4.0.1 de event-stream todavía está disponible, aunque la haya subido Right9ctrl.

Por lo que sabemos, la versión 4.0.1 está libre de malware, probablemente cargada para intentar distraer la sospecha de los cambios sin escrúpulos introducidos en la versión 3.3.6.

Los desarrolladores que todavía están dispuestos a confiar event-stream y seguir usándola deben actualizar sus dependencias para reflejar esto (espero que se den cuenta de que ahora es necesario).

En cuanto a la billetera de Copay, BitPay publicó una declaración que señala que el código malicioso estaba presente en las versiones 5.0.2 a 5.1.0 de las aplicaciones Copay y BitPay.

Los usuarios deben descargar la versión 5.2.0 lo antes posible y leer las instrucciones completas de la compañía .

En resumen:

  • Si aún tiene instalada alguna versión de Copay de 5.0.2 a 5.1.0, no ejecute ni abra la aplicación .
  • Si es un usuario de Copay que ejecutó una versión infectada del software, debe asumir que sus claves privadas se han comprometido. Mueva sus fondos a nuevas billeteras , utilizando Copago 5.2.0 o posterior, tan pronto como sea posible.

Lo último que puede hacer la comunidad de desarrollo, por supuesto, es reflexionar sobre por qué Right9ctrl fue tan fácil de asumir este proyecto ampliamente utilizado, y por qué muchos desarrolladores confiaron de manera inmediata y ciega al nuevo mantenedor.

Como exasperado Chris Northwood dijo:

Nada impide que esto vuelva a suceder, y es aterrador.