По вчерашнему сообщению разработчиков популярного криптокошелька CoPay от известного оператора криптоплатежей BitPay, хакерам (пока неизвестно, действовали ли они группой или речь об одиночке) удалось имплементировать в его библиотеку кода инструмент для кражи биткоинов.
Уязвимость обнаружена в стороннем модуле Node.js, также известном как «поток событий» (event stream), который используется в версиях с 5.0.2 по 5.1.0 приложений BitPay и криптокошельке CoPay.

Согласно отчету о происшествии, выложенном на GitHub, этот модуль был изменен для загрузки вредоносных программ, способных украсть личные ключи пользователей.
По сведениям издания Fortune, этот скрипт был скачен более двух миллионов раз, за это время приложением воспользовались более пятисот крупных предприятий и мелких проектов.

Сообщается, что в начальной версии ПО, которую опубликовали еще восьмого сентября, содержалась безобидная составляющая под названием flatMap-стрим.

Именно в нее был внедрен код для воровства криптовалюты после обновления приложения.
В официальном сообщении BitPay говорится, что процессинговое приложение осталось неуязвимым для вредоносного кода, однако команда разработчиков в настоящий момент изучает, была ли обнаруженная уязвимость использована против каких-либо пользователей CoPay.

Также компания предупреждает, что пользователи версий кошелька, которые затронула уязвимость, должны быть готовыми к тому, что их приватные ключи могут быть уже скомпроментированы, поэтому рекомендуется немедленно переместить все свои криптовалютные активы в новые защищенные кошельки версии 5.2.0, предварительно обновив старые кошельки до новой версии, чтобы не потерять средства в процессе.
«Пользователи не должны пытаться перенести средства на новые кошельки, импортировав подзаголовки резервных копий затронутых кошельков (которые соответствуют потенциально скомпрометированным приватным ключам).

Пользователи должны сначала обновить свои кошельки (5.0.2-5.1.0), а затем отправить все средства от затронутых возможной атакой кошельков на совершенно новый кошелек в версии 5.2.0, используя функцию Send Max, чтобы инициировать транзакции всех средств».
Согласно данным отчета GitHub, малоизвестный пользователь под ником right9ctrl запросил и получил права публикации для этой библиотеки кода, используемой в модуле Node.js.

Ее предыдущий управляющий Доминик Тарр признался, что больше не осуществляет поддержку этого репозитория и не подозревал о злых намерениях нового пользователя.
Создатель криптомонеты Dogecoin Джексон Палмер уже отреагировал на произошедшее, выразив в твиттере обеспокоенность «одной из главных проблем с криптовалютными кошельками на основе JavaScript, сильно зависимыми от диспетчера пакетов Node.js».

По сути, замечает разработчик, BitPay просто доверял всем разработчикам этого модуля, считая, что они никогда не попытаются ввести вредоносный код в кошелек и не позволят этого непреднамеренно.
Что ж, похоже, они ошиблись.

Доверие такого рода нынче может дорого обойтись.