Komponent EventStream dla Node.js kradnie kryptowaluty. Pobrano go miliony razy

Maciej Olanicki , 12.12.2018 r.
bitcoin

Kryptowalutowy boom trwa w najlepsze, mimo że jego główny bohater – bitcoin – zatracił już niemal wszystkie cechy kryptowaluty i wszystkie cechy waluty rozumianej jako środek płatniczy. Przez ostatnie miesiące hard forki rosły jak grzyby po deszczu, a swój token ma nawet Przemysław Saleta.

Przykre skutki bitcoinowego boomu

Łatwo zapomnieć, że oprócz wpływu między innymi na ceny kart graficznych internetowy czy rynek narkotykowy, kryptowaluty odcisnęły swoje piętno także na cyberbezpieczeństwie. Gdyby nie one, nie mielibyśmy do czynienia z całkowicie nowym typem zagrożeń – skryptami kopiącymi kryptowaluty na maszynach nieświadomych procederu internautów. Koparki widzieliśmy już w zasadzie wszędzie – od oprogramowaniu smartfonowego po stronę Rzeczpospolitej.

Zagrożenia związane z kryptowalutami wiążą się jednak nie tylko ze skryptami obciążającymi maszynę, lecz także z malware wyspecjalizowanym w kradzieży krytptowalut. Nie bez znaczenia jest tutaj socjotechnika – wszak liczba osób posiadająca portfele z kryptowalutami jest względnie nieduża, można jednak wytypować grupę zawodową, gdzie są one popularne. Mowa oczywiście o programistach, administratorach i innych specjalistach IT. Wystarczy dodać dwa do dwóch, by dojść do wniosku, że najlepiej lokować kradnące kryptowaluty malware w... narzędziach deweloperskich.

EventStream od września kradł kryptowaluty

Właśnie na taki pomysł wpadła osoba występująca na GitHubie pod pseudonimem right9ctrl, który we wrześniu stał się właścicielem repozytorium EventStreama – popularnej javascriptowej biblioteki dla Node.js upraszczającej programistom pracę nad strumieniami danych. EventStream został zainfekowany w wersji 3.3.6 – to w niej pojawiła się zależność flatmap-stream, która zawiera malware. Ma ono dość wąskie zastosowanie – kradnie kryptowaluty zgromadzone na portfelach Copay dostarczanych przez firmę BitPay. Środki są przekazywane przez NPM na serwery w Kuala Lumpur.

Aktualnie EventStream nie stanowi już zagrożenia – zamknięto port w NPM, który przekazywane były środki. Według danych zgromadzonych przez TrendMicro, zainfekowanego EventStreama pobrano w ciągu dwóch miesięcy miliony razy. Aktualnie repozytorium komponentu na GitHubie ma status tylko do odczytu.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: