Модуль Node.js под названием «event-stream», который используется в миллионах веб-приложений, включая Bitcoin-кошелек Copay с открытым исходным кодом, по сообщениям, был скомпрометирован.

GitHub-пользователь с незначительной активностью запросил у Доминика Тарра права на публикацию в библиотеке «event-stream». Тарр некоторое время являлся ее модератором, однако, уже в течение нескольких лет не занимался ее развитием и решил передать право управления пользователю под ником right9ctrl. Новый модератор, как оказалось, внедрил в библиотеку вредоносный код, который позволяет извлекать приватные ключи из приложений, использующие модули «event-stream» и «copay-dash».

Источник: GitHub

Айртон Спарлинг, разработчик с GitHub, объясняет, что right9ctrl изначально обновил модуль, внедрив при этом в библиотеку вредоносный код, после этого он устранил проблему для того, чтобы избежать ее обнаружения. По словам Спарлинга, пользователи, которые успели за это время скачать зараженную версию, могут по-прежнему находится в зоне риска.

Отметим, что компания BitPay признала наличие уязвимости, однако ее представители объяснили, что вредоносный код был внедрен в версиях Copay 5.0.2 по 5.1.0. Компания рекомендует прекратить использование этих версий, разработчики уже выпустили обновленную безопасную версию 5.2.0 – она доступна для всех пользователей Copay и BitPay в магазине приложений.

В то же время Джексон Палмер, создатель криптовалюты Dogecoin, отметил, что сложившаяся ситуация демонстрирует одну из основных проблем крипто-кошельков на базе JavaScript, которые так тесно связаны с NPM (менеджером пакетов, который входит в состав Node.js). Палмер считает, что виноваты в случившемся, как представители BitPay, которые доверились up-stream-разработчикам, так и Доминик Тарр.

Читайте нас в "Яндекс Новости"
Расскажите об этом друзьям!
Будьте вежливы. Отправляя комментарий, Вы принимаете Условия пользования сайтом.

Свежие крипто-новости

Интересное по теме