|
|
51CTO旗下网站
|
|
移动端

黑客向热门JavaScript库注入恶意代码 窃取Copay钱包的比特币

尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。

作者:佚名来源:cnBeta.COM|2018-11-27 16:35

【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库,通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。

copay.png

这个可以加载恶意程序的JavaScrip库叫做Event-Stream,非常受开发者欢迎,在npm.org存储库上每周下载量超过200万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node.js流数据的JavaScript npm包。

根据Twitter、GitHub和Hacker News上用户反馈,该恶意程序在默认情况下处于休眠状态,不过当Copay启动(由比特币支付平台BitPay开发的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息,并将其发送至copayapi.host的8080端口上。

目前已经确认9月至11月期间,所有版本的Copay钱包都被认为已被感染。今天早些时候,BitPay团队发布了Copay v5.2.2,已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除,但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码,发布了不包含任何恶意代码的后续版本的Event-Stream。

建议使用这两个库的项目维护人员将其依赖树更新为可用的***版本--Event-Stream版本4.0.1。此链接包含所有3,900+ JavaScript npm软件包的列表,其中Event-Stream作为直接或间接依赖项加载。

【编辑推荐】

  1. 2018 JavaScript 报告:更多新用户选择 Vue
  2. 2018 JavaScript 现状调查报告火热出炉!
  3. D&G辱华把锅推给黑客!黑客:这个锅不背
  4. 代码只在交付时有价值,开发者发表软件定义交付宣言
  5. 微软的TypeScript最受JavaScript开发者青睐
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

289人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

645人订阅学习

WOT2019全球人工智能技术峰会

WOT2019全球人工智能技术峰会

通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
共50章 | WOT峰会

0人订阅学习

读 书 +更多

C++编程你也行

本书是一本优秀的C++教材,内容包括:基础类型、操作符和简单变量,循环和决策,命名空间和C++标准库,用C++编写函数,行为、序列点和求值...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客