Используемый во многих веб-приложениях модуль Node.js под названием event-stream был скомпрометирован, сообщает CCN.
Уязвимость ставит под удар, в частности, опенсорсный кошелек Copay от популярного биткоин-процессинга BitPay, использующий этот модуль.
Согласно жалобе на GitHub, разработчик right9ctrl внедрил в соответствующую библиотеку вредоносный код.
Последний способен извлекать приватные ключи из приложений, где задействованы модули event-stream и copay-dash.
По словам разработчика Айртона Спарлинга, злоумышленник обновил модуль, задействовав в нем вредоносный код. Затем он устранил проблему во избежание ее обнаружения.
Однако, отмечает Спарлинг, могут пострадать многие пользователи, которые скачали зараженную версию ПО.
В BitPay признали наличие уязвимости.
В блоге компании говорится, что вредоносный код был внедрен в версиях Copay с 5.0.2 по 5.1.0, однако самому приложению BitPay он угрозы не несет.
Представители компании порекомендовали пользователям не запускать версии Copay с 5.0.2 по 5.1.0.
Разработчики уже выпустили исправленную версию (5.2.0), которая доступна в магазинах приложений.
«Пользователям следует исходить из того, что приватные ключи на затронутых кошельках могли быть скомпрометированы. Поэтому им следует немедленно переместить средства на новые кошельки (v5.2.0).
Не нужно пытаться делать это посредством импортирования фразы восстановления из подверженных уязвимости кошельков, поскольку эта фраза соответствует потенциально скомпрометированным ключам.
Пользователям нужно сначала обновить уязвимые кошельки (5.0.2-5.1.0).
Затем следует переместить все средства с них на новый кошелек версии 5.2.0, используя функцию Send Max, подразумевающую перевод всех средств» — отмечается в блоге BitPay
Источник: forklog.com