广泛使用的 NPM 库被发现植入窃取比特币的后门

安全
pigsrollaroundinthem (39396)发表于 2018年11月27日 11时41分 星期二
来自依赖别人部门
广泛使用的 NPM 库 event-stream 在被转让给新维护者之后被发现植入了窃取比特币的后门。这个库有 200 万下载量,被包括财富五百强在内的大小企业使用。它在 9 月 8 日释出的更新中加入了叫 flatmap-stream 的模块,当时这个模块没有恶意功能,但在 10 月 5 日释出的更新中该模块加入了窃取比特币钱包并转移出余额的功能。上周二 Github 用户 Ayrton Sparling 报告了后门,本周一 NPM 才正式发出警告。恶意代码针对的是 Copay 钱包用户。Copay 开发的钱包应用在其代码中使用了 event-stream 依赖库。该公司一开始否认但最后承认它释出的应用包含了后门版本的 event-stream。该公司称使用 versions 5.0.2 到 5.1.0 的用户受到了后门影响。使用这些版本的用户应该假定他们的私钥已经被窃取了,需要尽可能快的升级到 5.2.0 版本。过去几年,此类的软件供应链攻击已经日益常见。