Хакер выманил у разработчика популярнейшую JavaScript-библиотеку, чтобы с ее помощью воровать биткоины
03 дек 2018 12:40 #74150
от ICT
ICT создал тему: Хакер выманил у разработчика популярнейшую JavaScript-библиотеку, чтобы с ее помощью воровать биткоины
Программируем, крадем Злоумышленники смогливнедрить код для кражи биткоинов в популярную JavaScript-библиотеку на GitHub, которой пользуются миллионы разработчиков. Речь идет об Event-Stream, npm-пакете для работы с потоковыми данными Node.js. Основной разработчик, Доминик Тарр (DominicTarr) забросил проект, несмотря на его популярность, втом числе среди крупнейших компаний мира, — а затем передал права на управлениерепозиторием некоему пользователю с ником Right9ctrl. По-видимому тогда же и произошла компрометациякода. Хронологически 9 сентября2018 г. была опубликована версия 3.3.6 c безвредным модулем flatmap-stream; возможно, это было сделано в качестве проверки —заметят ли новый модуль или нет. Очевидно, модуль не привлек особого внимания:5 октября 2018 г. flatmap-stream былдополнен вредоносным кодом, главной задачей которого была кража кошельков Bitcoin, разработанныхкомпанией Copay,и перевод хранящихся в них средств на сервер в Куала-Лумпуре. Copay использовали Event-Stream в своей разработке.
Хакеры внедрили вредоносный код для кражи биткоинов в популярнейшую JavaScript-библиотеку Код обнаружили только 20ноября 2018 г., когда какой-то пользователь задал в интернете вопрос, что этотскрипт вообще делает. Его вредоносная природа раскрылась моментально. Copay сообщили, что затронутыбыли только кошельки версий 5.0.2-5.1.0 и порекомендовали клиентам незамедлительнообновиться до версии 5.2.0 и перевести все средства туда. Непроверенный «помощник» Когда Доминика Тарраспросили, с какой стати он передал права на управление Event-Stream кому-то постороннему, тот простодушно ответил,что основной подозреваемый просто предложил взять управление на себя, посколькуу самого Тарра не хватало времени заниматься репозиторием. Тарра никак не проверялбэкграунд Right9ctrl и не удостоверялся в егоблагонадежности. А в результате могла произойти широкомасштабная компрометациябольшого количества программных разработок и, как следствие, крупномасштабнаякража Bitcoin,хотя на практике пока остается неизвестным, действительно ли это произошло. «Вся эта ситуация сновазаставит говорить о безопасности или небезопасности использования открытого ПО,— говорит Тарас Татаринов, экспертпо информационной безопасности компании “Информационные технологии будущего”. —Крупным проектам явно не следует принимать на веру утверждения о безопасностиоткрытого ПО: его в любом случае необходимо проверять на предметнезадокументированных возможностей в критически важных компонентах. Дажеоткрытый исходный код не дает гарантии того, что в ПО нет вредоносных закладокили бэкдоров».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Хакер украл у нелегалов интернета биткоины на $365 тысяч | 15.07 | Понедельник, 03 июля 2017 |
Трояны научились воровать данные с помощью Telegram | 12.64 | Понедельник, 26 марта 2018 |
Воровать ключи к шифрам RSA с ПК научились "с помощью хлебной лепешки" | 12.5 | Понедельник, 22 июня 2015 |
В России научились воровать деньги с кредитных карт с помощью Pokemon Go | 12.37 | Среда, 01 февраля 2017 |
«Чипокалипсис» продолжается: Найден способ воровать данные с помощью защищенного режима процессора | 12.12 | Вторник, 22 мая 2018 |
Microsoft купила разработчика PostgreSQL, чтобы «победить Amazon в облаках» | 11.65 | Пятница, 25 января 2019 |
Microsoft купила разработчика на PostgreSQL, чтобы «победить Amazon в облаках» | 11.65 | Пятница, 25 января 2019 |
"Стимулсофт" анонсировала генератор отчетов для JavaScript | 9.03 | Вторник, 28 июля 2015 |
Вышел генератор отчетов для JavaScript — Stimulsoft Reports.JS | 8.93 | Среда, 14 октября 2015 |
Новый язык для веб-разработки объединил возможности HTML, CSS и JavaScript | 8.84 | Пятница, 26 декабря 2014 |