WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mô-đun NodeJS bị lợi dụng để đánh cắp tiền ảo Bitcoin
Một mô-đun NodeJS của bên thứ ba với gần 2 triệu lượt tải xuống mỗi tuần đã bị xâm phạm sau khi một trong những người đóng góp mã nguồn mở bị nhiễm mã độc được lập trình để lấy cắp tiền lưu trữ trong ứng dụng ví Bitcoin.
Thư viện Node.js nói trên là "Event-Stream", một bộ công cụ giúp các nhà phát triển dễ dàng tạo và làm việc với các stream, một tập hợp dữ liệu trong Node.js - giống như array hoặc string.
Được phát hiện đầu tuần này, mã độc được thêm vào Event-Stream phiên bản 3.3.6 phát hành ngày 9 tháng 9 thông qua kho lưu trữ NPM và đã được gần 8 triệu nhà lập trình ứng dụng tải xuống.
Mô-đun Event-Stream cho Node.js ban đầu được tạo ra bởi Dominic Tarr, người đã duy trì thư viện Event-Stream trong một thời gian dài, nhưng bàn giao việc phát triển và bảo trì dự án vài tháng trước cho lập trình viên "right9ctrl".
Sau khi truy cập được vào thư viện, nhà bảo trì hợp pháp mới "Right9ctrl" đã phát hành Event-Stream phiên bản 3.3.6, chứa một thư viện mới, được gọi là Flatmap-Stream, được tạo ra đặc biệt cho mục đích của cuộc tấn công này và bao gồm mã độc.
Kể từ khi mô-đun luồng phẳng được mã hóa, mã độc vẫn không bị phát hiện trong hơn 2 tháng cho đến khi Ayrton Sparling (FallingSnow), một sinh viên khoa học máy tính tại Đại học bang California, đã báo cáo vấn đề vào hôm thứ Ba trên GitHub.
Sau khi phân tích mã obfuscated và payload mã hóa, người quản lý dự án mã nguồn mở NPM, vốn lưu trữ event-stream thấy rằng mô-đun độc hại đã được thiết kế để nhắm vào người dùng ứng dụng ví bitcoin nguồn mở của BitPay, Copay, một công ty kết hợp event-stream vào ứng dụng.
Mã độc đã cố gắng lấy cắp tiền kỹ thuật số được lưu trữ trong ví Dash Copay Bitcoin - được phân phối thông qua Node Package Manager (NPM) - và chuyển chúng đến một máy chủ đặt tại Kuala Lumpur.
NPM đã loại bỏ backdoor khỏi danh sách của NPM vào thứ Hai tuần này.
BitPay cũng phát hành một bản tin cho biết phiên bản Copay 5.0.2 đến 5.1.0 bị ảnh hưởng bởi mã độc và người dùng các phiên bản này nên tránh chạy hoặc mở ứng dụng cho đến khi họ cài đặt phiên bản Copay 5.2.0.
BitPay cũng nói rằng nhóm của họ tiếp tục điều tra vấn đề này và mức độ của lỗ hổng để biết liệu mã độc đã từng bị khai thác nhắm vào người dùng Copay hay chưa.
BitPay đảm bảo với người dùng rằng ứng dụng BitPay không dễ bị ảnh hưởng bởi mã độc.
Thư viện Node.js nói trên là "Event-Stream", một bộ công cụ giúp các nhà phát triển dễ dàng tạo và làm việc với các stream, một tập hợp dữ liệu trong Node.js - giống như array hoặc string.
Được phát hiện đầu tuần này, mã độc được thêm vào Event-Stream phiên bản 3.3.6 phát hành ngày 9 tháng 9 thông qua kho lưu trữ NPM và đã được gần 8 triệu nhà lập trình ứng dụng tải xuống.
Mô-đun Event-Stream cho Node.js ban đầu được tạo ra bởi Dominic Tarr, người đã duy trì thư viện Event-Stream trong một thời gian dài, nhưng bàn giao việc phát triển và bảo trì dự án vài tháng trước cho lập trình viên "right9ctrl".
Sau khi truy cập được vào thư viện, nhà bảo trì hợp pháp mới "Right9ctrl" đã phát hành Event-Stream phiên bản 3.3.6, chứa một thư viện mới, được gọi là Flatmap-Stream, được tạo ra đặc biệt cho mục đích của cuộc tấn công này và bao gồm mã độc.
Kể từ khi mô-đun luồng phẳng được mã hóa, mã độc vẫn không bị phát hiện trong hơn 2 tháng cho đến khi Ayrton Sparling (FallingSnow), một sinh viên khoa học máy tính tại Đại học bang California, đã báo cáo vấn đề vào hôm thứ Ba trên GitHub.
Sau khi phân tích mã obfuscated và payload mã hóa, người quản lý dự án mã nguồn mở NPM, vốn lưu trữ event-stream thấy rằng mô-đun độc hại đã được thiết kế để nhắm vào người dùng ứng dụng ví bitcoin nguồn mở của BitPay, Copay, một công ty kết hợp event-stream vào ứng dụng.
Mã độc đã cố gắng lấy cắp tiền kỹ thuật số được lưu trữ trong ví Dash Copay Bitcoin - được phân phối thông qua Node Package Manager (NPM) - và chuyển chúng đến một máy chủ đặt tại Kuala Lumpur.
NPM đã loại bỏ backdoor khỏi danh sách của NPM vào thứ Hai tuần này.
BitPay cũng phát hành một bản tin cho biết phiên bản Copay 5.0.2 đến 5.1.0 bị ảnh hưởng bởi mã độc và người dùng các phiên bản này nên tránh chạy hoặc mở ứng dụng cho đến khi họ cài đặt phiên bản Copay 5.2.0.
BitPay cũng nói rằng nhóm của họ tiếp tục điều tra vấn đề này và mức độ của lỗ hổng để biết liệu mã độc đã từng bị khai thác nhắm vào người dùng Copay hay chưa.
BitPay đảm bảo với người dùng rằng ứng dụng BitPay không dễ bị ảnh hưởng bởi mã độc.
Theo The Hacker News