Bitcoin Wallet Schwachstelle entdeckt
Jede Form von Investment birgt Risiken. Es besteht die Möglichkeit, dass Sie Ihr eingesetztes Kapital teilweise oder vollständig verlieren. Der Zugang zu dieser Plattform ist auf Personen beschränkt, die sich in Ländern oder Regionen befinden, wo die angebotenen Handels- und Anlageformen gesetzlich erlaubt sind. Die Nutzung unserer Dienste ist ausschließlich für Individuen vorgesehen, die nach den geltenden Gesetzen und Vorschriften dazu berechtigt sind.
Bitte prüfen Sie sorgfältig, ob die hier angebotenen Investmentmöglichkeiten in Ihrem Land oder Ihrer Region dem Anlegerschutz unterliegen. Es liegt in Ihrer Verantwortung, eine gründliche Prüfung (Due Diligence) durchzuführen. Bitte beachten Sie, dass wir möglicherweise Provisionen von den auf dieser Website präsentierten Unternehmen erhalten.
Ein Modul namens Event-Stream, das in Millionen von Webanwendungen, aber vor allem in der Open-Source-Bitcoin-Wallet Copay von BitPay verwendet wird, wurde angeblich kompromittiert, wodurch möglicherweise auch einige andere Wallets verwundbar werden.
BitPay veröffentlichte einen Hinweis, dass die Copay-Versionen 5.0.2 bis 5.1.0 von dem bösartigen Code betroffen sind und dass Benutzer mit diesen Versionen die Ausführung oder Öffnung der App vermeiden sollten, bis sie die Copay-Version 5.2.0 installieren.
“Unser Team untersucht dieses Problem und das Ausmaß der Schwachstelle weiter”, heißt es in der offiziellen Ankündigung. “Derzeit haben wir nur bestätigt, dass der bösartige Code in den Versionen 5.0.2 bis 5.1.0 unserer Copay- und BitPay-Anwendungen bereitgestellt wurde. Die BitPay-App war jedoch nicht anfällig für den bösartigen Code. Wir untersuchen immer noch, ob diese Code-Schwachstelle jemals gegen Copay-Benutzer ausgenutzt wurde.”
Copay, die betroffene Wallet, hat mehr als 100.000 Downloads von Android, während die Anzahl der Benutzer von anderen Plattformen wie iOS oder Windows unbekannt ist.
Alle anderen Wallets, die dieses Modul verwenden, könnten ebenfalls betroffen sein, obwohl zum Zeitpunkt des Schreibens noch keiner von ihnen gemeldet wurde.
Das Problem liegt darin, dass ein GitHub-Benutzer freiwillig die betreffende Bibliothek übernimmt, Malware injiziert und patcht, um eine Erkennung zu vermeiden.
Der Benutzer, der nur als “right9ctrl” bekannt ist, übernahm die Wartung des Moduls von seinem ursprünglichen Entwickler, dem Entwickler Dominic Tarr, der sagte, dass er das Repository seit Jahren nicht mehr gepflegt habe. Kurz gesagt, der Entwickler hat das Modul mit Malware aktualisiert und dann vor der Sicht verborgen, aber die zahlreichen Personen, die es bereits installiert hatten, sind weiterhin betroffen. Der bekannte Entwickler Jameson Lopp erklärte:
Das npm “event-stream” Repository wurde kompromittiert; wenn Sie es in einem Projekt zusammen mit “copay-dash” verwenden, dann wird die Malware alle privaten Schlüssel stehlen, die sie finden kann. https://t.co/fAnH6ik1n9
— Jameson Lopp (@lopp) 26. November 2018
___
Jackson Palmer, ein australischer Unternehmer und Technologe, der vor allem für die Entwicklung der berüchtigten erfolgreichen Kryptowährung “joke” bekannt ist Dogecoin, fügte hinzu:
Dies ist eines der Hauptprobleme bei JavaScript-basierten Kryptowährungs-Wallets mit starken Up-Stream-Abhängigkeiten von NPM. @BitPay vertraute im Wesentlichen allen Up-Stream-Entwicklern, niemals bösartigen Code in ihre Wallet zu injizieren.@dominictarr ließ auch den Angreifer rein, leider
— Jackson Palmer (@ummjackson) 26. November 2018
Event-Stream wird von Anwendungsprogrammierern rund zwei Millionen Mal pro Woche für viele verschiedene Anwendungen heruntergeladen. Die Version mit der darin enthaltenen Malware Event-Stream v 3.3.6 wurde am 9. September über das Repository Node Package Manager (NPM) veröffentlicht und seither von fast 8 Millionen Anwendungsprogrammierern heruntergeladen.
Der bösartige Code soll versucht haben, digitale Münzen zu stehlen, die in den Dash Copay Bitcoin Wallets gespeichert sind – verteilt über den NPM – und sie auf einen Server in Kuala Lumpur zu übertragen. Beamte von NPM haben die Hintertür am Montag dieser Woche aus der Liste von NPM entfernt.