Piratage : un code malicieux intégré à un module node.js
Alors que BitPay vient d’être choisi comme processeur de paiement en bitcoins (BTC) de l’État de l’Ohio pour le règlement des impôts des entreprises, une mauvaise nouvelle vient de tomber. Les wallets CoPay et BitPay contiennent une vulnérabilité issue d’un module tiers codé en NodeJS.
Les applications de wallet BitPay et Copay affectées via NodeJS ?
C’est notamment sur le Blog de BitPay que cette faille est précisée : un package tiers NodeJS, appelé « Event-Stream », aurait été infecté par un code malveillant. Il vise à capturer les clés privées des utilisateurs des applications intégrant ce module.
Ce seraient les versions 5.0.2 à 5.1.0 de Copay et BitPay qui auraient été affectées.
Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M— BitPay (@BitPay) November 26, 2018
BitPay a rapidement publié une mise à jour de sécurité, la version 5.2.0, qui doit être utilisée pour récupérer au plus vite les fonds issus des versions présentant un risque, et en créant de nouvelles clés privées, celles de ces précédentes versions pouvant être compromises.
Un problème ciblé ou plus important encore ?
Dans un premier temps, un problème plus global a été craint, car ce Node.js Event-Stream est très utilisé et répandu, avec 2 millions de téléchargements par semaine.
Beaucoup s’interrogeaient alors sur ce que pouvait faire ce code malicieux ajouté au module.
An NPM package with 2,000,000 weekly downloads had malicious code injected into it. No one knows what the malicious code does yet. https://t.co/V4rdenu7Bm
— Gary Bernhardt (@garybernhardt) November 26, 2018
Selon le rapport sur GitHub, c’est l’utilisateur appelé right9ctrl qui a demandé et obtenu les droits de publication sur la bibliothèque GitHub de Event-Stream, et qui a ensuite ajouté ce code malveillant.
Le créateur de Dogecoin (DOGE), Jackson Palmer, ne semble pas si surpris que ça. Pour lui, la possible vulnérabilité des modules programmés en amont d’une application de wallet « est l’un des problèmes majeurs des wallets de cryptomonnaies basés sur JavaScript (…) ».
https://twitter.com/ummjackson/status/1067132600739721216
Sources : CoinTelegraph ; TheHackerNews ; CoinDesk ; CoinPage || Image from Shutterstock
Rémy R.
Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.
