Преступники использовали репозиторий ПО с открытым кодом для таргетированной атаки на пользователей криптокошелька Copay. Вредоносный модуль, способный похищать учетные данные и ключи шифрования, был встроен в JavaScript-библиотеку с практически 2 млн еженедельных загрузок.

Под ударом оказалась библиотека event-stream, которая размещена в репозитории NPM. Несколько месяцев назад ее оригинальный разработчик Доминик Тарр (Dominic Tarr) отказался от дальнейшего развития проекта. Эту задачу взял на себя пользователь под ником right9control, который в первом же обновлении добавил в код отсылку к другому пакету функций — flatmap-stream.

Еще через несколько недель другой участник сообщества загрузил в репозиторий новую версию добавленной библиотеки. Как выяснили специалисты, в нее оказался встроен обфусцированный зловред, который обеспечивал преступникам доступ к активам кошелька Copay. Ситуация вскрылась случайно — один из разработчиков обратил внимание, что компоненты flatmap-stream используют устаревшую версию API, и решил разобраться в коде.

Изначально обвинение в умышленной компрометации библиотеки пало на right9control. Позже участники обсуждений пришли к выводу, что ответственность за инцидент лежит на втором пользователе, который обновил flatmap-stream.

Создатели Copay объявили, что под угрозу попали кошельки версий 5.0.1–5.1.0, и призвали своих клиентов обновиться до 5.2.0. Администрация репозитория не уточняет количество жертв, успевших скачать опасную версию ПО. По словам экспертов, атака была нацелена на определенных разработчиков приложения и вредоносный скрипт расшифровывался лишь в четко прописанном окружении. Полезная нагрузка не запускалась на компьютерах программистов, внедряясь в код их продукта, который впоследствии загружали конечные пользователи.

По словам экспертов ИБ, растущая популярность свободных программных библиотек играет на руку злоумышленникам. Около 60% разработчиков не могут точно сказать, какие компоненты с открытым кодом находятся в их продуктах. Преступники используют такое ПО, чтобы распространять вредоносы или заниматься фишингом.

Ёбаные гении

Одна отака и можешь всю жизнь жить на багамах

Ага, короткую жизнь

Ну не знаю не знаю, я заметил что они попадаются тогда когда слишком наглеют, если один раз провернул дела и исчез то жизнь будет долгой и прекрасной

Конечно не знаешь ибо, думается, что миллионы в крипте в основном хранят совсем не честные люди, со светлыми лицами.

И потерю крипты явно не через копов будут расследовать. Да и методы возврата будут ни разу не гуманные

Что-то такое я уже читал летом. Вот прям похоже. Пичальтаска. Чота плохо всё с блокцепями

Пф... если спец службы не всегда этих одаренных найти могут даже тогда когда несколько десятков банков вынесли, а тут одна отака *** пойми как отслеживаемая, понятное дело если чувак накосячил его найдут но если делал всё осторожно и больше не будет такой ***нёй страдать, а просто заляжет на дно его *** кто найдёт )

Что случилось? Давайте разберёмся.

Всех накажем и проучим впрок!

user100 уже хочет вступить в internet-polizei?

Для этого - необходима личная рекомендация партай-геноссе штурмфюрера Blitz.

эти спецслужбы, делают видимо это как бы спец..ально ничего не находят..

как этот один будет выводить миллиарды?