在库中注入了恶意代码,这些恶意程序被编程为窃取钱包应用程序中的比特币后,每周下载近200万次的Node.js模块遭到破坏。
Node.js库称为“事件流”,这是开发人员用于创建和使用流的工具包。 恶意代码已于本周早些时候被发现,将被添加到9月发布的库3.3.6版本中,此后已被数百万的应用程序程序员下载。
事件流模块最初由Dominic Tarr负责,他在将library绳交给负责“ right9ctrl”句柄的项目贡献者之前维护了库。 Tarr表示,他收到模块维护电子邮件后已多年未使用该模块,并转让了其所有权。 自此以来,新的维护者发布了事件流版本3.3.6,其新依赖项为“ flatmap -stream”。
由于 flatmap -流模块已加密, 直到Ayrton Sparling(FallingSnow)上周在GitHub上将该问题标记为问题为止,恶意代码在两个多月内一直未被发现。
开源项目经理和事件流宿主节点程序包管理器(NPM)从那以后就审查了混淆的代码和加密的有效负载。 NPM发现恶意模块的目的是从比特币支付平台BitPay的钱包应用Copay钱包中刷比特币。 据说Copay已将事件流整合到其应用中。
该恶意代码试图窃取存储在Copay钱包中并通过NPM分发的比特币,以据称将资金转移到位于吉隆坡的服务器上。
此后,此后门已于本周星期一从NPM中删除。 BitPay还发布了一份建议,建议用户应将其Copay钱包(版本5.0.2至5.1.0)更新为版本5.2.0,因为较早的版本可能已受到威胁。 该公司还澄清说,BitPay应用不受恶意代码的影响。 防御加密货币挖矿恶意软件
建议Copay用户避免运行或打开受影响的版本(5.0.2至5.1.0),并立即将其钱包更新为5.2.0版本。 运行该软件漏洞版本的用户应假定其私钥已受到该恶意软件的影响,并应将其资金转移到Copay 5.2.0或更高版本。
此事件突出说明了攻击者如何可以使用加密货币挖矿恶意软件秘密感染系统。 此处的黑客可以访问流行的JavaScript库来窃取钱包应用程序中的硬币。 除了资金被盗外,被加密货币挖矿恶意软件感染的机器还可能导致严重的性能问题。 用户可以考虑采用可以通过跨代混合的威胁防御技术防御加密货币挖掘恶意软件的安全解决方案。 趋势科技XGen安全性提供了高保真机器学习,可以保护网关和端点并保护物理,虚拟和云工作负载。 借助采用Web / URL过滤,行为分析和自定义沙箱的技术,XGen安全性提供了针对不断变化的,绕过传统控件并利用已知和未知漏洞的威胁的保护。 XGen安全性还为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
趋势科技™Deep Discovery Inspector™通过此DDI规则保护客户: DDI规则ID 26:C&C回调尝试 危害指标(IoC)
相关哈希(SHA-256): afc100fb28f7bac05e41d9ae33f184502b8068642b7fd05970eb72bf1786892c-Coinminer.Win32.MALBTC.AA 8b90859b19e3e3dea8d923996709210ed48ff3249563f56ff12eb1936ffcc295-Coinminer.Win32.MALBTC.AA
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢