Используемый во многих веб-приложениях модуль Node.js под названием event-stream был скомпрометирован, сообщает CCN.
Уязвимость ставит под удар, в частности, опенсорсный кошелек Copay от популярного биткоин-процессинга BitPay, использующий этот модуль.
Согласно жалобе на GitHub, разработчик right9ctrl внедрил в соответствующую библиотеку вредоносный код.

Последний способен извлекать приватные ключи из приложений, где задействованы модули event-stream и copay-dash.
По словам разработчика Айртона Спарлинга, злоумышленник обновил модуль, задействовав в нем вредоносный код.

Затем он устранил проблему во избежание ее обнаружения.

Однако, отмечает Спарлинг, могут пострадать многие пользователи, которые скачали зараженную версию ПО.
В BitPay признали наличие уязвимости.

Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M

— BitPay (@BitPay) 26 листопада 2018 р.

В блоге компании говорится, что вредоносный код был внедрен в версиях Copay с 5.0.2 по 5.1.0, однако самому приложению BitPay он угрозы не несет.
Представители компании порекомендовали пользователям не запускать версии Copay с 5.0.2 по 5.1.0.

Разработчики уже выпустили исправленную версию (5.2.0), которая доступна в магазинах приложений.

«Пользователям следует исходить из того, что приватные ключи на затронутых кошельках могли быть скомпрометированы.

Поэтому им следует немедленно переместить средства на новые кошельки (v5.2.0), — отмечается в блоге BitPay.

Не нужно пытаться делать это посредством импортирования фразы восстановления из подверженных уязвимости кошельков, поскольку эта фраза соответствует потенциально скомпрометированным ключам.

Пользователям нужно сначала обновить уязвимые кошельки (5.0.2-5.1.0).

Затем следует переместить все средства с них на новый кошелек версии 5.2.0, используя функцию Send Max, подразумевающую перевод всех средств»


Ранее сообщал об уязвимости в Chrome-расширении для управления Ethereum-активами на аппаратных кошельках Ledger.