Un importante módulo del repositorio NPM es infectado con código malicioso con el propósito de robar Bitcoins.
La biblioteca Event-Stream es una herramienta para trabajar fácilmente con streams (flujos de datos), que tiene alrededor de dos millones de descargas semanales.
Dicha biblioteca fue creada y mantenida en un principio por Dominic Tarr. Eventualmente, el desarrollo pasó a manos de un usuario llamado right9ctrl.
El código malicioso fue añadido en la version 3.3.6 de la biblioteca, publicada el 9 de septiembre. Desde entonces ha sido descargada por unos 8 millones de usuarios. Sin embargo, el código malicioso no ha salido a la luz hasta principios de la semana pasada.
Junto con la versión 3.3.6 de la biblioteca Event-Streamer, el desarrollador malicioso incluyó una nueva dependencia llamada Flatmap-Stream, que es la que contenía el código malicioso.
Dado que el código del módulo Flatmap-Stream estaba cifrado, su comportamiento pasó inadvertido por la comunidad más de dos meses, hasta que un estudiante de la Universidad Estatal de California encontró el problema y así lo hizo constar en un issue de Github.
Después de analizar el código ofuscado, se constató que el módulo Flatmap-Stream se había diseñado específicamente pensando en el robo de Bitcoins de los usuarios de la aplicación móvil Copay, que hace uso de esta misma biblioteca, para transferirlos a un servidor en Kuala Lumpur.
Copay es un monedero de Bitcoin y Bitcoin Cash en software libre desarrollado por Bitpay. Ésta última compañía, ha publicado un aviso indicando que las versiones de Copay desde la 5.0.2 hasta la 5.1.0 están afectadas por la biblioteca maliciosa. También indican que los usuarios de Bitpay no están afectados por este problema.
Laboratorio Hispasec
Más información:
Rogue Developer Infects Widely Used NodeJS Module to Steal Bitcoins
https://thehackernews.com/2018/11/nodejs-event-stream-module.html
Deja una respuesta