黑客将恶意代码注入流行的JavaScript库以从Copay钱包中窃取比特币。黑客使用恶意代码获得(合法)访问流行的JavaScript库,注入恶意代码以从BitPay的Copay钱包应用程序中窃取比特币和比特币现金。这个可以加载恶意程序的JavaScript库称为Event-Stream,非常受开发人员欢迎,在npm.org存储库上每周有超过200万次下载。但三个月前,由于时间和兴趣不足,原作者将开发和维护工作交给了另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node.js流数据的JavaScriptnpm包。根据Twitter、GitHub和HackerNews上的用户反馈,该恶意程序默认处于休眠状态,但会在Copay(比特币支付平台BitPay开发的桌面和移动钱包应用程序)启动时自动激活。它会窃取包括私钥在内的用户钱包信息,并将其发送到copayapi.host的8080端口。经证实,所有版本的Copay钱包都被认为在9月至11月期间被感染。今天早些时候,BitPay团队发布了Copayv5.2.2,其中删除了Event-Stream和Flatmap-Stream依赖项。恶意Event-Streamv3.3.6也已从npm.org中删除,但Event-Stream库仍然可用。这是因为Right9ctrl为了移除他的恶意代码,发布了一个不包含任何恶意代码的后续版本的Event-Stream。建议使用这两个库的项目维护者将他们的依赖树更新到最新的可用版本——Event-Stream版本4.0.1。此链接包含所有3,900多个JavaScriptnpm包的列表,Event-Stream作为直接或间接依赖项加载。
