Модуль Node.js под названием “event-stream”, используемый миллионами веб-приложений, в том числе биткоин-кошельком Copay, предположительно, был взломан, сообщает CCN.
Пользователь GitHub, проявлявший мало активности на портале, запросил права на публикацию в библиотеке “event-stream” у её предыдущего модератора Доминика Тарра, который заявил, что не занимается ею на протяжении нескольких лет и передал управление пользователю под ником right9ctrl.
Согласно жалобе на GitHub, новый модератор внедрил в библиотеку вредоносный код, позволяющий экспортировать приватные ключи из приложений, использующих модули “event-stream” и “copay-dash”.
Разработчик Айртон Спарлинг объясняет:
Другими словами, разработчик внедрил в модуль вредоносный элемент, а затем исправил проблему, чтобы избежать обнаружения, однако пользователи, успевшие скачать заражённую версию, всё ещё могут пострадать. Код Copay, написанный многомиллионной процессинговой компанией BitPay, используется во множестве сторонних криптовалютных приложений, что само по себе даёт основания для новых вопрос.
Создатель Dogecoin Джексон Палмер так прокомментировал сложившуюся ситуацию:
This is one of the major issues with JavaScript-based cryptocurrency wallets with heavy up-stream dependencies coming from NPM. @BitPay essentially trusted all the up-stream developers to never inject malicious code into their wallet.@dominictarr also let the attacker in, sadly
— Jackson Palmer (@ummjackson) November 26, 2018
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме
Запись Множество биткоин-кошельков могут быть скомпрометированы впервые появилась Криптовалюта.Tech.
Криптовалюта.Tech
Автор: Saffron
