Kwetsbaarheid van Bitcoin-wallet ontdekt
Een module genaamd event-stream, gebruikt in miljoenen webapplicaties maar met name in BitPay’s open/source Bitcoin-portemonnee Copay is naar verluidt in gevaar gebracht, waardoor mogelijk ook andere portefeuilles kwetsbaar zijn.
BitPay publiceerde een advies waarin Copay-versies 5.0.2 tot en met 5.1.0 werden beïnvloed door de kwaadwillige code en dat gebruikers met deze geïnstalleerde versies de app niet moesten uitvoeren of openen totdat ze Copay-versie 5.2.0 installeerden.
“Our team is continuing to investigate this issue and the extent of the vulnerability,” staat er in het officiele bericht. “Currently, we have only confirmed that the malicious code was deployed on versions 5.0.2 through 5.1.0 of our Copay and BitPay apps. However, the BitPay app was not vulnerable to the malicious code. We are still investigating whether this code vulnerability was ever exploited against Copay users.”
Copay, de getroffen portemonnee, heeft meer dan 100.000 downloads van Android, terwijl het aantal gebruikers van andere platforms zoals iOS of Windows onbekend is. Andere portefeuilles die deze module gebruiken, kunnen ook worden beïnvloed, maar vanaf het moment van schrijven is geen van hen naar voren gekomen.
Het probleem komt voort uit een GitHub-gebruiker die zich vrijwillig aanbiedt om de betreffende bibliotheek over te nemen, malware te injecteren en op te starten om detectie te voorkomen.
De gebruiker, alleen bekend als "right9ctrl", nam het onderhoud van de module over van de oorspronkelijke maker, ontwikkelaar Dominic Tarr, die zei dat hij de opslagplaats niet in jaren had onderhouden. Kortom, de ontwikkelaar heeft de module bijgewerkt met malware en vervolgens verborgen voor het zicht, maar de vele mensen die het al hadden geïnstalleerd, blijven getroffen. Bekende ontwikkelaar Jameson Lopp legde uit:
The npm "event-stream" repository has been compromised; if you are using it in a project along with "copay-dash" then the malware will steal any private keys it can find. https://t.co/fAnH6ik1n9
— Jameson Lopp (@lopp) November 26, 2018
___
Jackson Palmer, een Australische ondernemer en technoloog bekendst voor het creëren van de beruchte succesvolle "grap" cryptocurrency Dogecoin , voegde er aan toe:
This is one of the major issues with JavaScript-based cryptocurrency wallets with heavy up-stream dependencies coming from NPM. @BitPay essentially trusted all the up-stream developers to never inject malicious code into their wallet.@dominictarr also let the attacker in, sadly
— Jackson Palmer (@ummjackson) November 26, 2018
Event-stream wordt ongeveer twee miljoen keer per week gedownload door applicatieprogrammeurs voor veel verschillende toepassingen. De versie met de malware daarin, Event-Stream v 3.3.6, werd op 9 september gepubliceerd via de Node Package Manager (NPM)-opslagplaats en was sindsdien gedownload door bijna acht miljoen applicatieprogrammeurs.
De schadelijke code zou zogenaamd hebben geprobeerd digitale munten te stelen die zijn opgeslagen in de Dash Copay Bitcoin-portefeuilles – gedistribueerd via de NPM – en over te zetten naar een server in Kuala Lumpur. Ambtenaren van NPM hebben de achterdeur verwijderd van NPM’s lijst op maandag deze week.
