Jump to content
Sign in to follow this  
SharkyVan

Уязвимость в Node.js поставила под удар множество биткоин-кошельков

Recommended Posts

Уязвимость в Node.js поставила под удар множество криптовалютных кошельков

 

 

Новая уязвимость во фреймворке Node.js, который используют миллионы веб-приложений, включая криптовалютные кошельки, может привести к потере данных. При этом отмечается, что уязвимость появилась неслучайно, а была намеренно добавлена в библиотеку event-stream, которая используется во многих приложениях на Node.js.

 

Разработчик библиотеки Доминик Тарр (Dominic Tarr) уже несколько лет не работает над проектом. Он передал права на репозиторий новому пользователю под ником right9ctrl, у которого на тот момент практически не было активности на GitHub.

 

Сообщается, что именно пользователь right9ctrl добавил в библиотеку вредоносный код, с помощью которого злоумышленники могут получить доступ к секретным ключам в приложениях, использующих библиотеку.

«Он добавил вредоносный код flatmap-stream, который нацелен на ps-tree, и практически сразу опубликовал изменения. Второе добавление, которое произошло через три дня, удалило инъекцию и обновило версию библиотеки, так что репозиторий очистился от вредоносного кода. Но те, кто обновились до этого, получили сборку с инъекцией», – заявил поднявший эту тему пользователь Айртон Спарлинг (Ayrton Sparling).

Проще говоря, злоумышленник на некоторое время подменил библиотеку версией, содержащей вредоносный код, а затем заменил на нормальную. Но множество пользователей осталось с инфицированной версией.

 

 

Читать полностью

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Kraken Security Labs выявили уязвимость аппаратного крипто-кошелька KeepKey

      Сотрудники исследовательской компании Kraken Security Labs обнаружили уязвимость в аппаратном криптовалютном кошельке KeepKey, через которую злоумышленники могут получить доступ к активам пользователя.   Исследователи сообщили, что, имея физический доступ к устройству, злоумышленник может извлечь зашифрованную seed-фразу, защищенную PIN-кодом, который содержит от 1 до 9 цифр, так как такая защита взламывается простым перебором паролей. При этом устранить уязвимость невозможно, так

      in Новости криптовалют

    • Promon: уязвимость в Android позволяет хакерам получать информацию о криптовалютных кошельках

      Исследователи компании Promon, специализирующейся на информационной безопасности, обнаружили уязвимость, которая позволяет хакерам получать доступ к личным данным на любом телефоне с ОС Android.   Promon сообщила об обнаружении опасной уязвимости под названием StrandHogg, от которой пострадали все версии Android. Сейчас под угрозой находятся 500 самых популярных приложений. Технический директор Promon Том Хансен (Tom Hansen) отметил: StrandHogg мимикрирует под любое прил

      in Новости криптовалют

    • Уязвимость в SIM-картах - SimJacker

      Специалисты в области кибербезопасности обнаружили критическую уязвимость в SIM-картах, позволяющую с помощью SMS взломать практически любой смартфон и следить за его владельцем. В зоне риска находятся обладатели устройств от Apple, ZTE, Motorola, Samsung, Google, HUAWEI и других компаний.   Уязвимость, получившая название SimJacker, находится в программном обеспечении SIMalliance Toolbox Browser ([email protected] Browser), встроенном в большинство SIM-карт, которые используются мобильными оператор

      in Безопасность

    • Разработчики децентрализованной биржи AirSwap обнаружили уязвимость в смарт-контракте

      Команда разработчиков протокола AirSwap сообщила о критической уязвимости в новом смарт-контракте, который был возвращен к более старой версии менее чем через 24 часа после обнаружения проблемы.   Разработчики обнаружили в новом смарт-контракте уязвимость, которая могла позволить злоумышленникам осуществлять свопы без подписи контрагента при определенных условиях. Команда AirSwap представила возможное решение для всех потенциально затронутых пользователей в публикации на Medium:

      in Новости криптовалют

    • В проекте Libra устранили серьезную уязвимость

      Криптовалютная аудиторская компания OpenZeppelin сообщила об обнаружении и исправлении серьезной уязвимости в языке Move, разработанным социальной сетью Facebook для проекта Libra.   «Уязвимость в компиляторе Move IR позволяет преступникам интегрировать вредоносный код в смарт-контракты, причем они могут быть замаскированы под комментарии разработчиков», – рассказал генеральный директор OpenZeppelin Демиан Бренер (Demian Brener).    Читать полностью

      in Новости криптовалют

×
×
  • Create New...