O módulo do Node.js chamado event-stream, usado em muitos aplicativos da web, foi comprometido. Isso foi relatado pela CCN.
A vulnerabilidade ameaça, em particular, a carteira Copay, do BitPay, que usa este módulo.
De acordo com uma reclamação registrada no GitHub, o desenvolvedor do right9ctrl injetou um código malicioso na biblioteca relevante. Este código é capaz de extrair chaves privadas de aplicativos que usam os módulos event-stream e copay-dash.
Segundo o desenvolvedor Ayrton Sparling, o atacante atualizou o módulo, ativando o código malicioso nele. Em seguida, consertou o problema para evitar sua detecção. Neste contexto, observa Sparling, muitos usuários que baixaram a versão infectada do software correm risco.
A BitPay reconheceu a presença da vulnerabilidade.
Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M— BitPay (@BitPay) 26 de novembro de 2018
O blog da empresa diz que o código malicioso foi introduzido nas versões 5.0.2 a 5.1.0 da carteira Copay, mas não carrega a ameaça para o próprio serviço BitPay.
Representantes da empresa aconselharam que os usuários não executem as versões 5.0.2 a 5.1.0 da Copay. Os desenvolvedores já lançaram uma versão revisada (5.2.0), disponível em lojas de aplicativos.
“Os usuários devem assumir que as chaves privadas nas carteiras afetadas poderiam ter sido comprometidas. Portanto, eles devem imediatamente transferir fundos para novas carteiras (v5.2.0)”, notou o blog do BitPay. “Não tente fazer isso importando a frase de recuperação das carteiras vulneráveis, pois essa frase corresponde a chaves potencialmente comprometidas. Os usuários precisam primeiro atualizar as carteiras vulneráveis (5.0.2-5.1.0). Em seguida, devem transferir todos os fundos delas para uma nova carteira da versão 5.2.0, usando a função Send Max, o que implica a transferência de todos os fundos”.
Ainda neste contexto, vale ressaltar que anteriormente relatamos uma vulnerabilidade na extensão do Chrome para gerenciamento de ativos de Ethereum em carteiras de hardware da Ledger.
Chrys é fundadora e escritora ativa do BTCSoul. Desde que ouviu falar sobre Bitcoin e criptomoedas ela não parou mais de descobrir novidades. Atualmente ela se dedica para trazer o melhor conteúdo sobre as tecnologias disruptivas para o website.
Últimos Tweets