黑客将恶意代码注入流行的 JavaScript 库以从 Copay 钱包中窃取比特币

虽然恶意代码的存在是在上周才被发现的，但直到今天，安全专家才整理出这些乱七八糟的恶意代码，并了解了它的真正意图。 黑客使用恶意代码获得（合法）访问流行的 JavaScript 库，注入恶意代码以从 BitPay 的 Copay 钱包应用程序中窃取比特币和比特币现金。

这个加载恶意程序的 JavaScript 库称为 Event-Stream，非常流行，在 npm.org 存储库上每周的下载量超过 200 万次。 但三个月前，由于时间和兴趣不足，原作者将开发和维护工作交给了另一位程序员Right9ctrl。 Event-Stream，是一个用于处理 Node.js 流数据的 JavaScript npm 包。

根据Twitter、GitHub和Hacker News上的用户反馈窃取比特币，该恶意程序默认处于休眠状态窃取比特币，但会在Copay（比特币支付平台BitPay开发的桌面和移动钱包应用程序）启动时自动激活。 它会窃取包括私钥在内的用户钱包信息，并将其发送到copayapi.host的8080端口。

经证实，所有版本的 Copay 钱包都被认为在 9 月至 11 月期间被感染。 今天早些时候，BitPay 团队发布了 Copay v5.2.2，其中删除了 Event-Stream 和 Flatmap-Stream 依赖项。 恶意 Event-Stream v3.3.6 也已从 npm.org 中删除，但 Event-Stream 库仍然可用。 这是因为Right9ctrl为了移除他的恶意代码，发布了一个不包含任何恶意代码的后续版本的Event-Stream。

建议使用这两个库的项目维护者将他们的依赖树更新到可用的最新版本——Event-Stream 版本 4.0.1。 此链接包含所有 3,900 多个 JavaScript npm 包的列表，Event-Stream 作为直接或间接依赖项加载。