Популярная библиотека JavaScript ворует биткоины из криптовалютных кошельков

Москва, 12:16, 27 Ноя 2018, редакция FTimes.ru, автор Сергей Кузнецов.

Библиотека JavaScript, насчитывающая более двух миллионов загрузок каждую неделю, была заражена вредоносным кодом для кражи монет из криптовалютного кошелька.

Поврежденный пакет — Event-Stream, создан для упрощения работы с потоковыми модулями Node.js, и доступен через репозиторий npmjs.com.

Хотя вредоносный код был обнаружен на прошлой неделе, исследователи смогли определить его цель в последнее время, когда им удалось расшифровать его и провести деобфускацию.

 

Кто  берет на себя ответственность?

 

Обнаружилось, что более ранние версии библиотеки, которые все еще используются, включают новый компонент «flatmap-stream» version 0.1.1, содержащий опасный код. Он был представлен три месяца назад после того, как Доминик Тарр, оригинальный разработчик Event-Stream, отказался от библиотеки и передал ее другому разработчику, Right9ctrl.

Похоже, что Right9ctrl совершил вредоносные изменения, как только он получил доступ к популярной библиотеке, а затем опубликовал обновленную версию.

«Он [right9ctrl] отправил мне письмо по электронной почте и сказал, что хочет сохранить модуль, поэтому я дал его ему. Я ничего не получаю от поддержки этого модуля, и я даже не использую его больше, и не на долгие годы», — сказал Тарр, добавив, что у него больше нет прав на публикацию для библиотеки на npmjs.com.

Тарр допустил ошибку, передав права, но хранилище оставалось под его именем пользователя.

 

Биткоин кошельки в поле зрения хакеров

 

Согласно отчетам пользователей, которые анализировали код, целевыми являются библиотеки, связанные с приложением Copay Bitcoin wallet для мобильных и настольных компьютеров.

Целью разработчика мошеннического кода было украсть файлы кошелька, так как вредоносный код успешно выполнялся, когда использовался пакет, используемый Copay.

Введенный код пытается украсть биткоины из кошелька, а затем пытается подключиться к copayapi.host и к IP-адресу 111.90.151.134 в Малайзии.

 

 

Вредоносный код с инструкциями для подключения к copayapi.host

 

Библиотека Event-Stream по-прежнему доступна из right9ctrl через диспетчера npm, но она не представляет никакого риска. Похоже, что разработчик два месяца назад обновил версию до версии 4.0.1 уже без вредоносного кода.

 

Пользователи Github говорят, что right9ctrl сделал это, пытаясь скрыть свои следы, так как большинство разработчиков привязали свои проекты к основной версии библиотеки, но не обновляли ее. Таким образом, бэкдор все еще будет присутствовать в их проектах, но последняя версия пакета чиста.

Что касается Copay, версия 5.2.2 появилась без двух неприятных библиотек JavaScript.