Модуль Node.js под названием “event-stream”, используемый миллионами веб-приложений, в том числе биткойн-кошельком Copay, предположительно, был взломан, сообщает CCN.

Пользователь GitHub, проявлявший мало активности на портале, запросил права на публикацию в библиотеке “event-stream” у её предыдущего модератора Доминика Тарра, который заявил, что не занимается ею на протяжении нескольких лет и передал управление пользователю под ником right9ctrl.

Согласно жалобе на GitHub, новый модератор внедрил в библиотеку вредоносный код, позволяющий экспортировать приватные ключи из приложений, использующих модули “event-stream” и “copay-dash”.

Разработчик Айртон Спарлинг объясняет:

«Он добавил “flatmap-stream” (1 обновление с тремя версиями, последняя удаляет элемент), который является элементом, нацеленным на ps-tree. После этого почти в то же самое время он публикует новую версию. Через 3 дня вышла другая версия без вредоносного элемента, что позволило ему очистить репозиторий от присутствия “flatmap-stream”, но при этом все версии 3.x (миллионы установок за неделю) остаются в зоне риска».

Другими словами, разработчик внедрил в модуль вредоносный элемент, а затем исправил проблему, чтобы избежать обнаружения, однако пользователи, успевшие скачать заражённую версию, всё ещё могут пострадать. Код Copay, написанный многомиллионной процессинговой компанией BitPay, используется во множестве сторонних криптовалютных приложений, что само по себе даёт основания для новых вопрос.

Создатель Dogecoin Джексон Палмер так прокомментировал сложившуюся ситуацию:

«Это одна из основных проблем криптовалютных кошельков на базе JavaScript, в значительной степени полагающихся на менеджер пакетов NPM. BitPay, по сути, доверились тому, что во всю стриминговую разработку и их кошелёк никогда не будет добавлен вредоносный элемент. Доминик Тарр, к сожалению, тоже позволил злоумышленнику получить доступ».