Новая уязвимость во фреймворке Node.js, который используют миллионы веб-приложений, включая криптовалютные кошельки, может привести к потере данных. При этом отмечается, что уязвимость появилась неслучайно, а была намеренно добавлена в библиотеку event-stream, которая используется во многих приложениях на Node.js.
Разработчик библиотеки Доминик Тарр (Dominic Tarr) уже несколько лет не работает над проектом. Он передал права на репозиторий новому пользователю под ником right9ctrl, у которого на тот момент практически не было активности на GitHub.
Сообщается, что именно пользователь right9ctrl добавил в библиотеку вредоносный код, с помощью которого злоумышленники могут получить доступ к секретным ключам в приложениях, использующих библиотеку.
На данный момент известно, что влиянию подвергся криптовалютный кошелек Copay. Так как это кошелек с открытым исходным кодом, на котором построено множество других приложений, связанных с криптовалютами, масштаб проблемы может быть довольно большим.
Ранее специалист по компьютерной безопасности Лукас Стефанко (Lukas Stefanko) сообщал, что обнаружил в магазине приложений Google Play сразу четыре фальшивых криптовалютных кошелька, которые воруют данные пользователей.
Разработчик библиотеки Доминик Тарр (Dominic Tarr) уже несколько лет не работает над проектом. Он передал права на репозиторий новому пользователю под ником right9ctrl, у которого на тот момент практически не было активности на GitHub.
Сообщается, что именно пользователь right9ctrl добавил в библиотеку вредоносный код, с помощью которого злоумышленники могут получить доступ к секретным ключам в приложениях, использующих библиотеку.
Проще говоря, злоумышленник на некоторое время подменил библиотеку версией, содержащей вредоносный код, а затем заменил на нормальную. Но множество пользователей осталось с инфицированной версией.
На данный момент известно, что влиянию подвергся криптовалютный кошелек Copay. Так как это кошелек с открытым исходным кодом, на котором построено множество других приложений, связанных с криптовалютами, масштаб проблемы может быть довольно большим.
Ранее специалист по компьютерной безопасности Лукас Стефанко (Lukas Stefanko) сообщал, что обнаружил в магазине приложений Google Play сразу четыре фальшивых криптовалютных кошелька, которые воруют данные пользователей.