Разделы

ПО Безопасность Бизнес

Хакер выманил у разработчика популярнейшую JavaScript-библиотеку, чтобы с ее помощью воровать биткоины

Разработчик Event-Stream передал управление ее кодом на GitHub случайному человеку, а тот скрытно добавил в нее вредоносные компоненты.

Программируем, крадем

Злоумышленники смогли внедрить код для кражи биткоинов в популярную JavaScript-библиотеку на GitHub, которой пользуются миллионы разработчиков.

Речь идет об Event-Stream, npm-пакете для работы с потоковыми данными Node.js. Основной разработчик, Доминик Тарр (DominicTarr) забросил проект, несмотря на его популярность, в том числе среди крупнейших компаний мира, — а затем передал права на управление репозиторием некоему пользователю с ником Right9ctrl. По-видимому тогда же и произошла компрометация кода.

Хронологически 9 сентября 2018 г. была опубликована версия 3.3.6 c безвредным модулем flatmap-stream; возможно, это было сделано в качестве проверки — заметят ли новый модуль или нет. Очевидно, модуль не привлек особого внимания: 5 октября 2018 г. flatmap-stream был дополнен вредоносным кодом, главной задачей которого была кража кошельков Bitcoin, разработанных компанией Copay, и перевод хранящихся в них средств на сервер в Куала-Лумпуре. Copay использовали Event-Stream в своей разработке.

backdoor600.jpg
Хакеры внедрили вредоносный код для кражи биткоинов в популярнейшую JavaScript-библиотеку

Код обнаружили только 20 ноября 2018 г., когда какой-то пользователь задал в интернете вопрос, что этот скрипт вообще делает. Его вредоносная природа раскрылась моментально. Copay сообщили, что затронуты были только кошельки версий 5.0.2-5.1.0 и порекомендовали клиентам незамедлительно обновиться до версии 5.2.0 и перевести все средства туда.

Непроверенный «помощник»

Когда Доминика Тарра спросили, с какой стати он передал права на управление Event-Stream кому-то постороннему, тот простодушно ответил, что основной подозреваемый просто предложил взять управление на себя, поскольку у самого Тарра не хватало времени заниматься репозиторием.

Как «умнеют» российские города
Цифровизация

Тарра никак не проверял бэкграунд Right9ctrl и не удостоверялся в его благонадежности. А в результате могла произойти широкомасштабная компрометация большого количества программных разработок и, как следствие, крупномасштабная кража Bitcoin, хотя на практике пока остается неизвестным, действительно ли это произошло.

«Вся эта ситуация снова заставит говорить о безопасности или небезопасности использования открытого ПО, — говорит Тарас Татаринов, эксперт по информационной безопасности компании “Информационные технологии будущего”. — Крупным проектам явно не следует принимать на веру утверждения о безопасности открытого ПО: его в любом случае необходимо проверять на предмет незадокументированных возможностей в критически важных компонентах. Даже открытый исходный код не дает гарантии того, что в ПО нет вредоносных закладок или бэкдоров».

Роман Георгиев