黑客向熱門JavaScript庫注入惡意程式碼 竊取Copay錢包的比特幣

儘管上週已經發現了惡意程式碼的存在，但直到今天安全專家才理清這個嚴重混亂的惡意程式碼，瞭解它真正的意圖是什麼。黑客利用該惡意程式碼獲得(合法)訪問熱門JavaScript庫，通過注射惡意程式碼從BitPay的Copay錢包應用中竊取比特幣和比特幣現金。

這個可以載入惡意程式的JavaScrip庫叫做Event-Stream，非常受開發者歡迎，在npm.org儲存庫上每週下載量超過200萬。但在三個月前，由於缺乏時間和興趣原作者將開發和維護工作交給另一位程式設計師Right9ctrl。Event-Stream，是一個用於處理Node.js流資料的JavaScript npm包。

根據Twitter、GitHub和Hacker News上使用者反饋，該惡意程式在預設情況下處於休眠狀態，不過當Copay啟動（由比特幣支付平臺BitPay開發的桌面端和移動端錢包應用）之後就會自動啟用。它將會竊取包括私鑰在內的使用者錢包資訊，並將其傳送至copayapi.host的8080埠上。

目前已經確認9月至11月期間，所有版本的Copay錢包都被認為已被感染。今天早些時候，BitPay團隊釋出了Copay v5.2.2，已經刪除Event-Stream和Flatmap-Stream依賴項。惡意的Event-Stream v3.3.6也已從npm.org中刪除，但Event-Stream庫仍然可用。這是因為Right9ctrl試圖刪除他的惡意程式碼，釋出了不包含任何惡意程式碼的後續版本的Event-Stream。

建議使用這兩個庫的專案維護人員將其依賴樹更新為可用的最新版本--Event-Stream版本4.0.1。此連結包含所有3,900+ JavaScript npm軟體包的列表，其中Event-Stream作為直接或間接依賴項載入。

來源：cnBeta.COM

宣告：本網站所提供的資訊僅供參考之用，並不代表本網站贊同其觀點，也不代表本網站對其真實性負責。 

更多資訊：

1、[原創]2018東華杯momo_server詳解

2、體驗加殼過程

3、[翻譯]虛擬化是如何工作的（第二部分）

4、“寒冬”來了，年薪百萬的程式設計師淪為流浪漢？