Хакер обманом отримав доступ до Bitcoin-гаманців користувачів бібліотеки JavaScript

Хакер під псевдонімом Right9ctrl обманом отримав доступ до популярної бібліотеки JavaScript, заразив її шкідливим кодом і отримав доступ до Bitcoin-гаманців її користувачів. Як повідомляє "Медуза", зловмисник міг отримати доступ до даних мільйонів осіб.

У бібліотеках JavaScript містяться коди з елементами управління, які розробники можуть використовувати для того, щоб не писати елементи з нуля. Хакер отримав доступ до бібліотеки Event-Stream, якою щодня користується до двох мільйонів користувачів, серед яких як стартапи, так і великі компанії, що входять до Fortune 500.

У серпні 2018 року творець Event-Stream Домінік Тарр передав права адміністратора людині, яка запропонувала "допомогти з її підтримкою". Він зазначив, що на момент, коли йому написав Right9ctrl, він вже тривалий час не займався підтримкою бібліотеки і "нічого з неї не отримував". Тому він погодився передати на неї права людині, яка погодилась нею займатися.

Про те, що бібліотека заражена шкідливим кодом, стало відомо в листопаді, але довгий час було невідомо, хто за цим стоїть. "Уважні користувачі" бібліотеки заявили про те, що отримавши доступ до Event-Stream, Right9ctrl написав нову версію бібліотеки (3.3.6). Доданий до неї код не робив нічого доти, поки користувач не запускав додаток Copay - електронний гаманець, розроблений біткоїновою платіжною системою BitPay. У Copay використовується, в тому числі, бібліотека Event-Stream.

При відкритті гаманця шкідливий код з бібліотеки додавався код Copay, викрадав дані користувачів, включаючи секретні ключі, і відправляв на сервер у Куала-Лумпурі. Ймовірно, за допомогою цих даних Right9ctrl міг виводити криптовалюту з гаманців уражених користувачів.

Представники Copay закликали своїх користувачів оновити додаток до нової версії. Шкідлива версія Event-Stream 3.3.6 також була видалена з репозиторію. Чи вдалося хакеру вкрасти криптовалюту з рахунків користувачів бібліотеки, невідомо. Відзначається також, що вирахувати зловмисника і застрахувати криптовалюту на рахунках ніяк не можна.

Наприкінці січня у Японії хакери пограбували одну з найбільших бірж криптовалют Coincheck, вкравши більше 500 мільйонів токенів NEM, вартістю 400 мільйонів доларів.

Раніше повідомлялося, що менш, ніж за десять років, хакерам вдалося вкрасти Bitcoin і Ether на 1,2 мільярди доларів. Експерти вважають, що хакерство у сфері криптовалют - це індустрія, яка приносить 200 мільйонів щорічно.