Un
importante módulo del repositorio NPM es infectado con código malicioso con el
propósito de robar Bitcoins.
La
biblioteca Event-Stream es una herramienta para trabajar fácilmente con streams
(flujos de datos), que tiene alrededor de dos millones de descargas semanales.
Dicha
biblioteca fue creada y mantenida en un principio por Dominic Tarr.
Eventualmente, el desarrollo pasó a manos de un usuario llamado right9ctrl.
El código
malicioso fue añadido en la version 3.3.6 de la biblioteca, publicada el 9 de
septiembre. Desde entonces ha sido descargada por unos 8 millones de usuarios. Sin
embargo, el código malicioso no ha salido a la luz hasta principios de la
semana pasada.
Junto con
la versión 3.3.6 de la biblioteca Event-Streamer, el desarrollador malicioso
incluyó una nueva dependencia llamada Flatmap-Stream, que es la que contenía el
código malicioso.
Dado que el
código del módulo Flatmap-Stream estaba cifrado, su comportamiento pasó
inadvertido por la comunidad más de dos meses, hasta que un estudiante de la
Universidad Estatal de California encontró el problema y así lo hizo constar en
un issue de Github.
Después de
analizar el código ofuscado, se constató que el módulo Flatmap-Stream se había
diseñado específicamente pensando en el robo de Bitcoins de los usuarios de la
aplicación móvil Copay, que hace uso de esta misma biblioteca, para
transferirlos a un servidor en Kuala Lumpur.
Copay es un
monedero de Bitcoin y Bitcoin Cash en software libre desarrollado por Bitpay.
Ésta última compañía, ha publicado un aviso indicando que las versiones de
Copay desde la 5.0.2 hasta la 5.1.0 están afectadas por la biblioteca
maliciosa. También indican que los usuarios de Bitpay no están afectados por
este problema.
Más información:
Rogue
Developer Infects Widely Used NodeJS Module to Steal Bitcoins https://thehackernews.com/2018/11/nodejs-event-stream-module.html
Fuente:
Hispasec