Бэкдор в зависимости к event-stream, популярной библиотеке к Node.js

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи крипотвалюты и проведения целевой атаки на связанные с криптовалютой сервисы.

Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе связаны зависимостями с event-stream и производными библиотеками (например, event-stream используется как зависимость в ps-tree и npm-run-all c 1.4 млн и 400 тыс. еженедельных загрузок).

9 сентября пакет flatmap-stream был добавлен в зависимости к event-stream пользователем right9ctrl (новый мэйнтейнер, в начале сентября получивший доступ к репозиторию event-stream и право публикации в NPM). Примерно в то же время был сформирован выпуск flatmap-stream 0.1.1, в который был добавлен вредоносный код. 16 сентября, после выхода релиза event-stream 3.3.6, пакет flatmap-stream был удалён тем же пользователем из зависимостей к event-stream, а релиз 3.3.6 был отозван с NPM. Судя по всему, новый мэйнтейнер event-stream замешан в атаке или решил скрыто устранить проблему, не афишируя появление зависимости с вредоносным кодом.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.