Clicky

Desarrollador malintencionado infecta el módulo NodeJS para robar bitcoins

NodeJS

Los usuarios de Copay deben actualizar sus carteras afectadas

Un módulo de NodeJS de terceros ampliamente utilizado con casi 2 millones de descargas por semana se vio comprometido luego de que uno de sus colaboradores de código abierto se convirtiera en un truhán, infectándolo con un código malicioso programado para robar fondos almacenados en aplicaciones de billetera Bitcoin.

 

La biblioteca Node.js en cuestión es "Event-Stream", un kit de herramientas que facilita a los desarrolladores la creación y el trabajo con flujos, una recopilación de datos en Node.js, al igual que los arrays o strings.

El código malicioso detectado esta semana se agregó a Event-Stream versión 3.3.6, publicado el 9 de septiembre a través del repositorio NPM, y desde entonces ha sido descargado por casi 8 millones de programadores de aplicaciones.

El módulo Event-Stream para Node.js fue creado originalmente por Dominic Tarr, quien mantuvo la biblioteca Event-Stream durante mucho tiempo, pero entregó el desarrollo y mantenimiento del proyecto hace varios meses a un programador desconocido, llamado "right9ctrl".

Aparentemente, right9ctrl se ganó la confianza de Dominic al hacer algunas contribuciones significativas al proyecto.

Después de obtener acceso a la biblioteca, el nuevo mantenedor legítimo "Right9ctrl" lanzó Event-Stream versión 3.3.6, que contiene una nueva biblioteca, llamada Flatmap-Stream, como una dependencia, que fue diseñada específicamente para los propósitos de este ataque e incluye el código malicioso.

Desde que se cifró el módulo de flujo de mapas planos, el código malicioso no se detectó durante más de 2 meses, hasta que Ayrton Sparling (FallingSnow), un estudiante de ciencias de la computación en la Universidad Estatal de California, marcó el tema el martes en GitHub.

Después de analizar el confuso código y la carga útil cifrada, el administrador de proyectos de código abierto de NPM que alojó el flujo de eventos descubrió que el módulo malicioso se ha diseñado para dirigirse a personas que utilizan la aplicación de la cartera de bitcoins de código abierto de BitPay, Copay, una compañía que incorporó el flujo de eventos en su aplicación.

El código malicioso intentó robar monedas digitales almacenadas en las carteras Bitcoin de Dash Copay, distribuidas a través del Gestor de Paquetes de Node (NPM), y transferirlas a un servidor ubicado en Kuala Lumpur.

Los funcionarios de NPM, el administrador de proyectos de código abierto que alojó la biblioteca de códigos de flujo de eventos, eliminaron la puerta trasera de la lista de NPM el lunes de esta semana.

BitPay también publicó un aviso que dice que las versiones 5.0.2 a 5.1.0 de Copay se vieron afectadas por el código malicioso y que los usuarios con estas versiones instaladas deben evitar ejecutar o abrir la aplicación hasta que instalen la versión 5.2.0 de Copay.

"Los usuarios deben asumir que pueden haber sido comprometidas las claves privadas en las carteras afectadas, por lo que deben mover fondos a nuevas carteras (v5.2.0) de inmediato", dice BitPay en la advertencia.

"Los usuarios deben primero actualizar sus carteras afectadas (5.0.2-5.1.0) y luego enviar todos los fondos de las carteras afectadas a una nueva cartera en la versión 5.2.0, utilizando la función Send Max para iniciar transacciones de todos los fondos".

BitPay también dice que su equipo continúa investigando este problema y el alcance de la vulnerabilidad para saber si el código malicioso se explotó alguna vez contra los usuarios de Copay.

BitPay asegura a sus usuarios que la aplicación BitPay no era vulnerable al código malicioso.

Jesus_Caceres