Jump to content
Sign in to follow this  
SharkyVan

Уязвимость в Node.js поставила под удар множество биткоин-кошельков

Recommended Posts

Уязвимость в Node.js поставила под удар множество криптовалютных кошельков

 

 

Новая уязвимость во фреймворке Node.js, который используют миллионы веб-приложений, включая криптовалютные кошельки, может привести к потере данных. При этом отмечается, что уязвимость появилась неслучайно, а была намеренно добавлена в библиотеку event-stream, которая используется во многих приложениях на Node.js.

 

Разработчик библиотеки Доминик Тарр (Dominic Tarr) уже несколько лет не работает над проектом. Он передал права на репозиторий новому пользователю под ником right9ctrl, у которого на тот момент практически не было активности на GitHub.

 

Сообщается, что именно пользователь right9ctrl добавил в библиотеку вредоносный код, с помощью которого злоумышленники могут получить доступ к секретным ключам в приложениях, использующих библиотеку.

«Он добавил вредоносный код flatmap-stream, который нацелен на ps-tree, и практически сразу опубликовал изменения. Второе добавление, которое произошло через три дня, удалило инъекцию и обновило версию библиотеки, так что репозиторий очистился от вредоносного кода. Но те, кто обновились до этого, получили сборку с инъекцией», – заявил поднявший эту тему пользователь Айртон Спарлинг (Ayrton Sparling).

Проще говоря, злоумышленник на некоторое время подменил библиотеку версией, содержащей вредоносный код, а затем заменил на нормальную. Но множество пользователей осталось с инфицированной версией.

 

 

Читать полностью

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...