我們都知道,event-stream 是一個用於處理 Node.js 流數據的 JavaScript npm 包,它使得創建和使用流變得容易,正是因此,它也受到了廣大開發者的歡迎,目前這個庫每週有 200 萬的下載量,被包括財富五百強在內的大小企業使用。
前一段時間,在github上,由於@dominictarr 缺乏時間和興趣無法繼續維護這個庫了,於是就將該庫轉讓給了一個完全不認識卻又想要維護的陌生人@right9ctrl ,接而不少開發者的噩夢就此開始了。緊接着在今年10 月 5 日,flatmap-stream 0.0.1 版本被一個名爲“hugeglass”的用戶推送到了 NPM。而這次釋出的更新中該模塊就被加入了竊取比特幣錢包並轉移出餘額的功能。
國外知名錢包Copay最近爆出嚴重安全漏洞,據悉,此次漏洞是***利用該惡意代碼獲得 ( 合法 ) 訪問熱門 JavaScript 庫,通過注射惡意代碼從 BitPay 的 Copay 錢包應用中竊取比特幣和比特幣現金。
最近Github 用戶 Ayrton Sparling 報告了後門,Copay 開發的錢包應用在其代碼中使用了 event-stream 依賴庫和 Flatmap-Stream 依賴項。Event-Stream,是一個用於處理 Node.js 流數據的 JavaScript npm 包。該惡意程序在默認情況下處於休眠狀態,不過當 Copay 啓動(由比特幣支付平臺 BitPay 開發的桌面端和移動端錢包應用)之後就會自動激活。它將會竊取包括私鑰在內的用戶錢包信息,並將其發送至 copayapi.host 的 8080 端口上。
flatmap-stream 中的惡意代碼會掃描用戶的 nodemodules 目錄,因爲所有從 npm 下載的模塊都會放在此目錄。如果發現了在 nodemodules 存在特定的模塊,則將惡意代碼注入進去,從而盜取用戶的數字貨幣。
如果想查看自己的項目是否受到影響,可以運行:
$ npm ls event-stream flatmap-stream
如果在輸出裏面包含了 flatmap-stream 則說明你也可能被***。
如果使用 yarn 則可以運行:
$ yarn why flatmap-stream
如果在輸出裏面包含了 flatmap-stream 則說明你也可能被***。
如果使用 yarn 則可以運行:
$ yarn why flatmap-stream
目前已經確認所有版本的Copay錢包都被認爲已被感染,BitPay團隊發佈了Copay v5.2.2,已經刪除Event-Stream和Flatmap-Stream依賴項。惡意的Event-Stream v3.3.6也已從npm.org中刪除。
Cobo首席安全負責人Darker表示,這種***方式很隱蔽,防範很難,建議Copay用戶斷網更新至5.2.0或者使用桌面版本轉出資產,還可將資產轉至Cobo等其它更安全的錢包。