ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Преступники использовали репозиторий ПО с открытым кодом для таргетированной атаки на пользователей криптокошелька Copay. Вредоносный модуль, способный похищать учетные данные и ключи шифрования, был встроен в JavaScript-библиотеку с практически 2 млн еженедельных загрузок.

Под ударом оказалась библиотека event-stream, которая размещена в репозитории NPM. Несколько месяцев назад ее оригинальный разработчик Доминик Тарр (Dominic Tarr) отказался от дальнейшего развития проекта. Эту задачу взял на себя пользователь под ником right9control, который в первом же обновлении добавил в код отсылку к другому пакету функций — flatmap-stream.

Еще через несколько недель другой участник сообщества загрузил в репозиторий новую версию добавленной библиотеки. Как выяснили специалисты, в нее оказался встроен обфусцированный зловред, который обеспечивал преступникам доступ к активам кошелька Copay. Ситуация вскрылась случайно — один из разработчиков обратил внимание, что компоненты flatmap-stream используют устаревшую версию API, и решил разобраться в коде.

Изначально обвинение в умышленной компрометации библиотеки пало на right9control. Позже участники обсуждений пришли к выводу, что ответственность за инцидент лежит на втором пользователе, который обновил flatmap-stream.

Создатели Copay объявили, что под угрозу попали кошельки версий 5.0.1–5.1.0, и призвали своих клиентов обновиться до 5.2.0. Администрация репозитория не уточняет количество жертв, успевших скачать опасную версию ПО. По словам экспертов, атака была нацелена на определенных разработчиков приложения и вредоносный скрипт расшифровывался лишь в четко прописанном окружении. Полезная нагрузка не запускалась на компьютерах программистов, внедряясь в код их продукта, который впоследствии загружали конечные пользователи.

По словам экспертов ИБ, растущая популярность свободных программных библиотек играет на руку злоумышленникам. Около 60% разработчиков не могут точно сказать, какие компоненты с открытым кодом находятся в их продуктах. Преступники используют такое ПО, чтобы распространять вредоносы или заниматься фишингом.