Хакер выманил у разработчика популярнейшую JavaScript-библиотеку, чтобы с ее помощью воровать биткоины

Программируем, крадем Злоумышленники смогливнедрить код для кражи биткоинов в популярную JavaScript-библиотеку на GitHub, которой пользуются миллионы разработчиков. Речь идет об Event-Stream, npm-пакете для работы с потоковыми данными Node.js. Основной разработчик, Доминик Тарр (DominicTarr) забросил проект, несмотря на его популярность, втом числе среди крупнейших компаний мира, — а затем передал права на управлениерепозиторием некоему пользователю с ником Right9ctrl. По-видимому тогда же и произошла компрометациякода. Хронологически 9 сентября2018 г. была опубликована версия 3.3.6 c безвредным модулем flatmap-stream; возможно, это было сделано в качестве проверки —заметят ли новый модуль или нет. Очевидно, модуль не привлек особого внимания:5 октября 2018 г. flatmap-stream былдополнен вредоносным кодом, главной задачей которого была кража кошельков Bitcoin, разработанныхкомпанией Copay,и перевод хранящихся в них средств на сервер в Куала-Лумпуре. Copay использовали Event-Stream в своей разработке. Хакеры внедрили вредоносный код для кражи биткоинов в популярнейшую JavaScript-библиотеку Код обнаружили только 20ноября 2018 г., когда какой-то пользователь задал в интернете вопрос, что этотскрипт вообще делает. Его вредоносная природа раскрылась моментально. Copay сообщили, что затронутыбыли только кошельки версий 5.0.2-5.1.0 и порекомендовали клиентам незамедлительнообновиться до версии 5.2.0 и перевести все средства туда. Непроверенный «помощник» Когда Доминика Тарраспросили, с какой стати он передал права на управление Event-Stream кому-то постороннему, тот простодушно ответил,что основной подозреваемый просто предложил взять управление на себя, посколькуу самого Тарра не хватало времени заниматься репозиторием. Тарра никак не проверялбэкграунд Right9ctrl и не удостоверялся в егоблагонадежности. А в результате могла произойти широкомасштабная компрометациябольшого количества программных разработок и, как следствие, крупномасштабнаякража Bitcoin,хотя на практике пока остается неизвестным, действительно ли это произошло. «Вся эта ситуация сновазаставит говорить о безопасности или небезопасности использования открытого ПО,— говорит Тарас Татаринов, экспертпо информационной безопасности компании “Информационные технологии будущего”. —Крупным проектам явно не следует принимать на веру утверждения о безопасностиоткрытого ПО: его в любом случае необходимо проверять на предметнезадокументированных возможностей в критически важных компонентах. Дажеоткрытый исходный код не дает гарантии того, что в ПО нет вредоносных закладокили бэкдоров». Ссылка на источник