06/12/2018, 15:58

Thư viện NodeJS bị nhiễm mã độc nhằm chiếm đoạt ví bitcoin

Dù có 2 triệu lượt tải về một tuần, một mô đun NodeJS bị nhiễm mã độc vẫn đang bị khai thác nhằm chiếm quyền kiểm soát ví tiền ảo. Thư viện Node.js khiến NodeJS bị nhiễm mã độc tên là “Event-Stream”, một bộ công cụ giúp nhà phát triển tạo và làm việc với stream – bộ sưu tập dữ ...

Dù có 2 triệu lượt tải về một tuần, một mô đun NodeJS bị nhiễm mã độc vẫn đang bị khai thác nhằm chiếm quyền kiểm soát ví tiền ảo.

securitydaily_NodeJS bị nhiễm mã độc

Thư viện Node.js khiến NodeJS bị nhiễm mã độc tên là “Event-Stream”, một bộ công cụ giúp nhà phát triển tạo và làm việc với stream – bộ sưu tập dữ liệu trong Node.js.

Mã độc khiến NodeJS bị nhiễm độc được thêm vào Event-Stream phiên bản 3.3.6, tung ra vào ngày 09/09 thông qua kho lưu trữ NPM. Từ đó đến nay, đã có gần 8 triệu lượt tải bởi các nhà lập trình ứng dụng.

Mô đun Event-Stream trong Node.js được thiết kế bởi Dominic Tarr, người duy trì hoạt động của thư viện Event-Stream từ trước đến nay nhưng vài tháng trước đã chuyển giao quyền quản lý cho một nhà lập trình tên “right9ctrl”. Đây có thể là lí do khiến NodeJS bị nhiễm mã độc.

Sau khi có quyền truy cập thư viện, “Right9ctrl” tung Event-Stream phiên bản 3.3.6 chứa mã độc. 

Vì mô đun flatmap-stream đã được mã hóa nên mã độc không bị phát hiện trong hơn 2 tháng cho đến khi Ayrton Sparling (FallingSnow), một sinh viên khoa học máy tính tại Đại học California State công bố NodeJS bị nhiễm độc vào thứ 3 tuần vừa qua trên GitHub.

Sau khi phân tích và giải mã nội dung tấn công, quản lý dự án NPM phát hiện ra mã độc được nhắm tới những người dùng ứng dụng ví tiền ảo nguồn mở BitPay tên là CoPay, một công ty đã tích hợp NodeJS vào trong ứng dụng.

NodeJS bị nhiễm độc bởi một loại mã tấn công cướp tiền điện tử trong ví Dash Copay Bitcoin. Tiền này được phân phối qua Node Package Manager (NPM) và chuyển tới một máy chủ đặt tại Kuala Lumpur.

Backdoor của mã độc đã bị gỡ khỏi Node Package Manager vào thứ 2.

BitPay, công ty có phần mềm Copay cũng bị ảnh hưởng sau khi NodeJS bị nhiễm độc đã cảnh báo người dùng không nên sử dụng phần mềm cho đến khi tải Copay phiên bản mới 5.2.0.

“Người dùng nên chuyển tiền sang ví mới trên phiên bản 5.2.0 ngay lập tức.”

BitPay cũng cho biết công ty đang điều tra vụ việc NodeJS bị nhiễm mã độc và phạm vi ảnh hưởng để biết mã độc đã khai thác người dùng Copay hay chưa.

THN

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <

0