Piratage : un code malicieux intégré à un module node.js

Trading du CoinTrading du Coin

Alors que BitPay vient d’être choisi comme processeur de paiement en bitcoins (BTC) de l’État de l’Ohio pour le règlement des impôts des entreprises, une mauvaise nouvelle vient de tomber. Les wallets CoPay et BitPay contiennent une vulnérabilité issue d’un module tiers codé en NodeJS.

Les applications de wallet BitPay et Copay affectées via NodeJS ?

C’est notamment sur le Blog de BitPay que cette faille est précisée : un package tiers NodeJS, appelé « Event-Stream », aurait été infecté par un code malveillant. Il vise à capturer les clés privées des utilisateurs des applications intégrant ce module.

Ce seraient les versions 5.0.2 à 5.1.0 de Copay et BitPay qui auraient été affectées.

BitPay a rapidement publié une mise à jour de sécurité, la version 5.2.0, qui doit être utilisée pour récupérer au plus vite les fonds issus des versions présentant un risque, et en créant de nouvelles clés privées, celles de ces précédentes versions pouvant être compromises.

Un problème ciblé ou plus important encore ?

Dans un premier temps, un problème plus global a été craint, car ce Node.js Event-Stream est très utilisé et répandu, avec 2 millions de téléchargements par semaine.

Beaucoup s’interrogeaient alors sur ce que pouvait faire ce code malicieux ajouté au module.

Selon le rapport sur GitHub, c’est l’utilisateur appelé right9ctrl qui a demandé et obtenu les droits de publication sur la bibliothèque GitHub de Event-Stream, et qui a ensuite ajouté ce code malveillant.

Le créateur de Dogecoin (DOGE), Jackson Palmer, ne semble pas si surpris que ça. Pour lui, la possible vulnérabilité des modules programmés en amont d’une application de wallet « est l’un des problèmes majeurs des wallets de cryptomonnaies basés sur JavaScript (…) ».

Sources : CoinTelegraph ; TheHackerNews ; CoinDesk ; CoinPage || Image from Shutterstock

PARTAGER
Rémy R.
Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.

LAISSER UN COMMENTAIRE

Votre adresse de messagerie ne sera pas publiée.En publiant un commentaire, vous acceptez notre politique de confidentialité.

S'il vous plaît entrez votre commentaire!
Veuillez entrer votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.