Биткоин-кошелек Copay находится в зоне риска из-за уязвимости Node.js
Используемый во многих веб-приложениях модуль Node.js под названием event-stream был скомпрометирован, сообщает CCN.
Уязвимость ставит под удар, в частности, опенсорсный кошелек Copay от популярного биткоин-процессинга BitPay, использующий этот модуль.
Согласно жалобе на GitHub, разработчик right9ctrl внедрил в соответствующую библиотеку вредоносный код. Последний способен извлекать приватные ключи из приложений, где задействованы модули event-stream и copay-dash.
По словам разработчика Айртона Спарлинга, злоумышленник обновил модуль, задействовав в нем вредоносный код. Затем он устранил проблему во избежание ее обнаружения. Однако, отмечает Спарлинг, могут пострадать многие пользователи, которые скачали зараженную версию ПО.
В BitPay признали наличие уязвимости.
Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M— BitPay (@BitPay) 26 листопада 2018 р.
В блоге компании говорится, что вредоносный код был внедрен в версиях Copay с 5.0.2 по 5.1.0, однако самому приложению BitPay он угрозы не несет.
Представители компании порекомендовали пользователям не запускать версии Copay с 5.0.2 по 5.1.0. Разработчики уже выпустили исправленную версию (5.2.0), которая доступна в магазинах приложений.
«Пользователям следует исходить из того, что приватные ключи на затронутых кошельках могли быть скомпрометированы. Поэтому им следует немедленно переместить средства на новые кошельки (v5.2.0), — отмечается в блоге BitPay. — Не нужно пытаться делать это посредством импортирования фразы восстановления из подверженных уязвимости кошельков, поскольку эта фраза соответствует потенциально скомпрометированным ключам. Пользователям нужно сначала обновить уязвимые кошельки (5.0.2-5.1.0). Затем следует переместить все средства с них на новый кошелек версии 5.2.0, используя функцию Send Max, подразумевающую перевод всех средств»
Ранее ForkLog сообщал об уязвимости в Chrome-расширении для управления Ethereum-активами на аппаратных кошельках Ledger.