Código malicioso – Um módulo NodeJS de terceiros amplamente utilizado, com quase 2 milhões de downloads por semana, foi comprometido depois que um de seus colaboradores de código-fonte aberto agiu desonestamente, infectando-o com um código malicioso programado para roubar fundos armazenados em aplicativos de carteira Bitcoin.
A biblioteca Node.js em questão é “Event-Stream”, um kit de ferramentas que facilita aos desenvolvedores criar e trabalhar com fluxos, uma coleção de dados no Node.js – assim como matrizes ou cadeias de caracteres.
O código malicioso detectado no início do mês de Dezembro/2018 foi adicionado ao Event-Stream versão 3.3.6, publicado em 9 de setembro pelo repositório NPM, e desde então baixado por quase 8 milhões de programadores de aplicativos.
O módulo Event-Stream para Node.js foi criado originalmente por Dominic Tarr, que manteve a biblioteca Event-Stream por um longo tempo, mas entregou o desenvolvimento e a manutenção do projeto há alguns meses a um programador desconhecido, chamado “Right9ctrl”.
Aparentemente, “Right9ctrl” ganhou a confiança de Dominic, fazendo algumas contribuições significativas para o projeto.
Depois de obter acesso à biblioteca, “Right9ctrl” lançou o Event-Stream versão 3.3.6, contendo uma nova biblioteca, chamada Flatmap-Stream, como uma dependência, que foi especificamente criada para os propósitos deste ataque, incluindo nesta biblioteca o código malicioso.
Como o módulo de fluxo flatmap foi criptografado, o código malicioso permaneceu indetectável por mais de dois meses até que Ayrton Sparling (FallingSnow), um estudante de ciência da computação na Universidade Estadual da Califórnia, sinalizou o problema no final do mês de novembro no GitHub.
Depois de analisar o código ofuscado e a carga criptografada, o gerenciador de projeto de código aberto NPM, que hospedou o fluxo de eventos, descobriu que o código malicioso foi projetado para direcionar pessoas usando o aplicativo de carteira bitcoin de código aberto da BitPay, que incorporou fluxo de eventos em sua aplicativo.
O malware tentou roubar moedas digitais armazenadas nas carteiras Bitcoin Dash Copay – distribuídas através do Node Package Manager (NPM) – e transferi-las para um servidor localizado em Kuala Lumpur.
Oficiais do NPM – o gerente de projetos de código aberto que hospedava a biblioteca de códigos de fluxo de eventos – removeram o backdoor da listagem do NPM no início do mês de Dezembro/2018.
O BitPay também publicou um comunicado dizendo que as versões 5.0.2 a 5.1.0 do Copay foram afetadas pelo código malicioso e que os usuários com essas versões instaladas devem evitar a execução ou abertura do aplicativo até que instalem o Copay versão 5.2.0.
“Os usuários devem estar cientes de que as chaves privadas nas carteiras afetadas podem ter sido comprometidas, por isso devem transferir fundos para novas carteiras (v5.2.0) imediatamente“, diz o comunicado da BitPay.
“Os usuários devem primeiro atualizar suas carteiras afetadas (5.0.2-5.1.0) e, em seguida, enviar todos os fundos das carteiras afetadas para uma nova carteira na versão 5.2.0, usando o recurso “Enviar Max” para iniciar as transações de todos os fundos.“
O BitPay também diz que sua equipe continua a investigar este problema e a extensão da vulnerabilidade para saber se o código malicioso foi alguma vez explorado contra usuários do Copay.
O BitPay garante aos seus usuários que o aplicativo BitPay não é vulnerável ao código malicioso.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Tecnologia da Informação – Desenvolvimento de aplicativos IoT: dicas para torná-lo um sucesso.
- Segurança da Informação – Como um ataque tipo SamSam acontece e o que você pode fazer para prevenir.
- Segurança da Informação – O que é Confiança Zero? Proteja a Transformação Digital.
- Segurança da Informação – Como proteger uma rede corporativa, servidores e estações de trabalho.
- Práticas recomendadas de segurança física de um Data Center.
- Ransomware Ryuk surge em campanha altamente segmentada e altamente lucrativa.
- Pesquisadores desenvolveram Malware Furtivo com Inteligência Artificial.