۱۳۹۸-۰۶-۲۳ ۱۰:۲۲
تنظیم اندازه قلم

پ

۲:۲۹

سرقت بیت‌کوین با تزریق بدافزار از طریق کتابخانه‌های جاوا اسکریپت

هکر برکتابخانه جاوا اسکریپتJavaScript library)) غلبه می‌کند و بدافزار را برای سرقت بیت‌کوین وارد می‌کند.

یک کد منبع باز ذخیره شده در کتابخانه جاوا اسکریپت که توسط آخرین کاربر با یک کد مخرب مسموم شده به مهاجم اجازه می‌دهد تا بیت‌کوین را از کیف‌پول‌های Bitpay و Copay بکشاند.

مهاجمی که یک کد مخرب به نام Event-Stream را به پکیج  NodeJS وارد کرده (که توسط برنامه‌هایCopay و BitPay استفاده شده) مهاجم را قادر به سرقت کلیدهای خصوصی کیف پول می‌کند، واقعیتی که Bitpay تأیید کرد.

585804d4565764d8f9702712f5b57b16-700_0.jpg

Bitpay به کاربران هشدار داد فرض را بر آن بگذارند که کلیدهای خصوصی بر روی کیف‌پول‌ها به خطرافتاده، بنابراین باید هر‌وجهی سریعاً به کیف پولهای جدید منتقل شود.
Bitpay در یک وبلاگ گفت: "در حال حاضر ما فقط تأیید کرده‌ایم که کد مخرب روی نسخه های ۵.۰.۲ تا ۵.۱.۰ برنامه های Copay و BitPay ما مستقر شده است. با این حال برنامه (اپ) BitPay در برابر کد مخرب آسیب‌پذیر نبود. ما هنوز در حال بررسی هستیم که آیا این آسیب‌پذیری کد تاکنون علیه کاربران Copay مورد سوء‌استفاده قرار گرفته است یا خیر.»

Bitpay به کاربران توصیه می‌کند تا زمانی که کیف پول‌های آسیب‌دیده به نسخه ۵.۲.۰ و سپس به کیف پول تازه ایجاد شده با استفاده از ویژگی Send Max  آپدیت نشده برای شروع معاملات هیچگونه وجهی را جابجا نکنند.

javascript-learn.jpg

با توجه به مکالمه‌ای در Github، مشکل شروع شد،هنگامی که استخراج کننده اصلی کد، که توسط گیره dominicator اجرا می‌شود، مالکیت این ماژول را به شخصی با گیره "Right9ctrl" منتقل کرد. این نگهدارنده جدید نسخه جدیدی را با نام Event-Stream 3.3.6 منتشر کرد که حاوی این بدافزار بود.

چند تن از اعضای, Github  Dominicator را برای نقل مکان خود به کاربردند، که به گفته وی به دلیل کمبود وقت از طرف وی برای حفظ کد انجام شد.

XhmikosR نوشت: "شما میلیون‌ها انسان را در معرض خطر قرار‌داده‌اید و چیزی را به صورت رایگان، اما عمومی ایجاد می‌کنید، بدان معنی است که شما مسئول پکیج هستید."

altcoinsscom.jpg

جیدانسری اظهار کرد "تفاوت زیادی بین عدم نگهداری یک پکیج/بسته، در مقابل دادن آن به هکر (که در حقیقت تلاش بیشتری از انجام هیچ‌کاری می خواهد) وجود دارد، پس تمام مسئولیت‌های رفع آن را در صورت تأثیرگذاری بر میلیون‌ها انسان بی‌گناه انکار می‌کند."

کیسی‌الیس، در Bugcrowd، گفت Right9ctrl قادر بود با تسلیم پروژه، ایجاد اعتماد و سپس به دست‌آوردن کنترل توانست حمله را از بین ببرد.
"اصلی‌ترین راه حمله با این حمله این است که در دنیای نر‌افزارهای مدرن، کدی که می‌نویسید ایمن است، به این معنی نیست که کدی که سایر توسعه‌دهندگان برای شما می‌نویسند امن باشد و این رشته سر‌دراز دارد.

تنها راه برای پیشبرد این امر، تمرین آزمایشی عمیق و مداوم در مورد امنیت است. "

یک خبر خوب تنها توسط منیر‌ههاد(Mounir Hahad,  )، رئیس آزمایشگاه‌های تهدیدات Juniper فاش شد. او به SC Media گفت: "بر اساس تحقیقات ما، تلاش‌های کمی برای اتصال به فرمان تهدید و میزبان کنترل سرورcopayapi وجود داشته است، که می‌تواند نشانه خوبی از این باشد که افراد زیادی تحت تأثیر قرار‌نگرفته‌اند. "

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط