Im Repository npm Registry war eine mit Schadcode verseuchte Version der Code-Bibliothek EventStream verfügbar. Die darin enthaltene Backdoor soll Angreifern Zugriff auf Bitcoins in Wallets gegeben haben. Geklaute Bitcoins sollen auf einem Server in Kuala Lumpur gelandet sein.
EventStream ist eine weit verbreitete Code-Bibliothek, die jede Woche rund zwei Millionen Downloads zählt. Sie kommt in verschiedenster Software, unter anderem Botcoin Wallets, zum Einsatz. Die Backdoor in EventStream haben Entwickler auf Gibthub entdeckt.
Aufgrund des maßgeschneiderten Codes sollen aber nur von Copay entwickelte Bitcoin Wallets bedroht sein, erläutern die Wallet-Entwickler in einem Statement. Dort führen sie auch aus, wie betroffene Nutzer ihre Botcoins sicher in die abgesicherte Ausgabe v5.2.0 vom Copay Wallet transferieren können. Die Copay-Entwickler raten Nutzern dringend zum Update, da Schlüssel von betroffenen Wallets sehr wahrscheinlich kompromittiert sind. Außerdem stehen sie mit dem Wallet-Entwickler Copay-Dash in Kontakt, der auch EventStream einsetzt.
Schneeballeffekt
Den Schadcode hat ein neuer Entwickler in EventStream geschmuggelt. Offenbar brauchte der Hauptentwickler Unterstützung und nahm auf Github die Hilfe von einem Coder an. Dieser legte die Backdoor verschlüsselt im flatmap-stream-Modul ab. Das soll in zwei Phasen geschehen sein, sodass Involvierte keinen Verdacht schöpfen.
Schadcode in Entwicklungstools ist besonders gefährlich, da alle damit entwickelte Software verseucht ist. Dabei ist der Open-Source-Ansatz gleichzeitig Segen und Fluch: So können alle daran mitarbeiten, dabei kann aber eben auch von anderen Entwicklern unbemerkt Schadcode in Projekte rutschen.
Quelle: NPM-Paket EventStream mit Schadcode zum Stehlen von Bitcoins infiziert |
heise Security