黑客向热点JavaScript库注入恶意代码 窃取Copay钱包的比特币
|
尽量上周已经发明白恶意代码的存在,但直到本日安详专家才理清这个严峻紊乱的恶意代码,相识它真正的意图是什么。黑客操作该恶意代码得到(正当)会见热点JavaScript库,通过打针恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。
这个可以加载恶意措施的JavaScrip库叫做Event-Stream,很是受开拓者接待,在npm.org存储库上每周下载量高出200万。但在三个月前,因为缺乏时刻和乐趣原作者将开拓和维护事变交给另一位措施员Right9ctrl。Event-Stream,是一个用于处理赏罚Node.js流数据的JavaScript npm包。 按照Twitter、GitHub和Hacker News上用户反馈,该恶意措施在默认环境下处于休眠状态,,不外当Copay启动(由比特币付出平台BitPay开拓的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包罗私钥在内的用户钱包信息,并将其发送至copayapi.host的8080端口上。 今朝已经确认9月至11月时代,全部版本的Copay钱包都被以为已被传染。本日早些时辰,BitPay团队宣布了Copay v5.2.2,已经删除Event-Stream和Flatmap-Stream依靠项。恶意的Event-Stream v3.3.6也已从npm.org中删除,但Event-Stream库如故可用。这是由于Right9ctrl试图删除他的恶意代码,宣布了不包括任何恶意代码的后续版本的Event-Stream。 提议行使这两个库的项目维护职员将其依靠树更新为可用的最新版本--Event-Stream版本4.0.1。此链接包括全部3,900+ JavaScript npm软件包的列表,个中Event-Stream作为直接或间接依靠项加载 【编辑保举】
点赞 0 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
