Хакер обманом получил доступ к Bitcoin-кошелькам пользователей библиотеки JavaScript

Хакер под псевдонимом Right9ctrl обманом получил доступ к популярной библиотеке JavaScript, заразил ее вредоносным кодом и получил доступ к Bitcoin-кошелькам ее пользователей. Как сообщает "Медуза", злоумышленник мог получить доступ к данным миллионов человек.

В библиотеках JavaScript содержатся коды с элементами управления, которые разработчики могут использовать для того, чтобы не писать элементы с нуля. Хакер получил доступ к библиотеке Event-Stream, которой ежедневно пользуется до двух миллионов пользователей, среди которых как стартапы, так и крупные компании, входящие в Fortune 500.

В августе 2018 года создатель Event-Stream Доминик Тарр передал права администратора человеку, предложившему "помочь с ее поддержкой". Он отметил, что на момент, когда ему написал Right9ctrl, он уже продолжительное время не занимался поддержкой библиотеки и "ничего с нее не получал". Поэтому он согласился передать на нее права человеку, который согласился ей заниматься.

О том, что библиотека заражена вредоносным кодом, стало известно в ноябре, но долгое время было неизвестно, кто за этим стоит. "Наблюдательные пользователи" библиотеки заявили о том, что получив доступ к Event-Stream, Right9ctrl написал новую версию библиотеки (3.3.6). Добавленный в ней код не делал ничего до тех пор, пока пользователь не запускал приложение Copay - электронный кошелек, разработанный биткоиновой платежной системой BitPay. В Copay используется, в том числе, библиотека Event-Stream.

При открытии кошелька вредоносный код из библиотеки добавлялся в код Copay, похищал данные пользователей, включая секретные ключи, и отправлял на сервер в Куала-Лумпуре. Вероятно, с помощью этих данных Right9ctrl мог выводить криптовалюту с кошельков пораженных пользователей.

Представители Copay призвали своих пользователей обновить приложение до новой версии. Вредоносная версия Event-Stream 3.3.6 также была удалена из репозитория. Удалось ли хакеру украсть криптовалюту со счетов пользователей библиотеки, неизвестно. Отмечается также, что вычислить злоумышленника и застраховать криптовалюту на счетах никак нельзя.

В конце января в Японии хакеры ограбили одну из крупнейших бирж криптовалют Coincheck, украв более 500 миллионов токенов NEM, стоимостью 400 миллионов долларов.

Менее чем за десять лет, хакерам удалось украсть Bitcoin и Ether на 1,2 миллиарда долларов. Эксперты считают, что хакерство в сфере криптовалют - это индустрия, которая приносит 200 миллионов долларов ежегодно.