Hacker manipuliert JavaScript-Bibliothek und stiehlt Bitcoins

Ein Hacker hat sich auf legitime Weise Zugang zu einer häufig genutzten JavaScript-Bibliothek verschafft, um Schadcode hinzuzufügen. Der Code wurde zwar bereits in der vergangenen Woche entdeckt, Forschern gelang es aber erst jetzt, den gut getarnten Code zu analysieren und seine Funktion zu verstehen. Er richtet sich gegen die Wallet-App Copay des Anbieters BitPay und soll Bitcoin und Bitcoin Cash stehlen.

Betroffen ist die JavaScript-Bibliothek Event-Stream für Node.js, die laut Repository npm.org pro Woche auf mehr als Millionen Downloads kommt. Der ursprüngliche Autor übergab das Projekt vor drei Monaten an einen anderen Programmierer namens Right9crtl, der die Bibliothek anschließend um den fraglichen Code erweitert haben soll.

Die von Right9crtl veröffentlichte Version 3.3.6 soll eine neue Abhängigkeit enthalten, und zwar für die Bibliothek Flatmap-Stream Version 0.1.1, die wiederum den eigentlichen Schadcode enthält. Dieser Code wird erst aktiv, wenn er vom Quellcode der Walltet-App Copay aufgerufen wird.

Wird er zusammen mit dem Copay-Code kompiliert, stiehlt er die Wallet-Daten eines Nutzers inklusive seiner privaten Schlüssel und überträgt sie an die URL copayapi.host. Derzeit muss angenommen werden, dass alle in den Monaten September, Oktober und November veröffentlichten Version der Copay-Geldbörse den schädlichen Code enthalten. Seit gestern steht nun die fehlerbereinigte Version Copay 5.2.2 zur Verfügung, die die Abhängigkeiten zu Event-Stream und Flatmap-Stream entfernt.

Auch die Betreiber von npm.org haben reagiert und die schädliche Version 3.3.6 der Event-Stream-Bibliothek aus ihrem Angebot entfernt. Neuere Versionen von Event Stream sind jedoch weiterhin erhältlich – offenbar versuchte der Entwickler Right9ctrl seine Absichten zu verbergen, in dem er bei neueren Versionen auf den schädlichen Code verzichtete.

Projekte, die Event-Stream oder Flatmap-Stream einsetzen, müssen nun manuell ihre Abhängigkeiten aktualisieren. Grund dafür ist, dass einige Projekte so konfiguriert sind, dass sie Abhängigkeiten lokal speichern, wodurch keine Fehlermeldung beim Zugriff auf die online gelöschte Version 3.3.6 ausgelöst wird.