Bitpay und Copay: Schadcode gefunden, wer in event-stream entdeckt wurde

Bitpay-Wallet Copay angegriffen: Schadcode in event-stream-Version gemeldet
Keine Kommentare

Das auf npm veröffentlichte Modul event-stream wurde im September mit Malware infiziert, wie jetzt bekannt wurde. Es könnten noch betroffene Versionen im Umlauf sein. Folgenlos blieb der Malware-Angriff an sich aber keineswegs: Auch in den Apps Bitpay und Copay, einem Bitcoin-Wallet, wurde der Schadcode nun entdeckt. Ob Private Keys gestohlen wurden, ist unklar.

Das Populäre npm-Modul event-stream, das zwei Millionen mal pro Woche heruntergeladen wird, wurde im September mit Schadcode infiziert. Nachdem Dominic Tarr, der ursprüngliche Entwickler des Projekts, von GitHub-Nutzer right9ctrl kontaktiert wurde, übergab dieser die Veröffentlichungsrechte für das Package an ihn. Unmittelbar darauffolgend, so wird in der Diskussion auf GitHub angegeben, wurde eine Version des Moduls mit Payload veröffentlicht, der aus dem Repository flatmap-stream 0.1.1 importiert wurde.

event-stream, Bitpay und Copay: Die Ziele des Angriffs

Der Schadcode war auf die Bitpay-App Copay ausgerichtet, die offenbar das eigentliche Ziel des Angriffs war. Gestohlen werden sollen Private Keys für das Bitcoin Wallet. Die infizierte Version von event-stream wurde offenbar kurz nach ihrer Veröffentlichung bereits zurückgezogen und durch ein Major-Release ersetzt, das flatmap-stream wieder entfernte. GitHub-Nutzer Ayrton Sparling nimmt jedoch an, dass nicht alle Anwender von event-stream auf die Major-Version aktualisiert haben, sodass die betroffene Version noch in Umlauf sein könnte. Auch blieb der Angriff wohl aufgrund des schnellen Rückzugs der Version lange unentdeckt – die ersten Meldungen gingen in der vergangenen Woche ein, die Veröffentlichung der betroffenen Version erfolgte im September.

Wie das Unternehmen Bitpay inzwischen bestätigte, wurde der Schadcode in den Bitpay-Anwendungen Copay und Bitpay in den Versionen 5.0.2 bis 5.1.0 ausgeliefert. Ein Update, das den Code entfernt, soll mit Version 5.2.0 zeitnah ausgespielt werden. Tatsächlich angreifbar gewesen sei nur Copay, einen erfolgreichen Angriff auf Bitpay könne man ausschließen. Von der weiteren Verwendung infizierter Versionen wird abgeraten. Ob tatsächlich Private Keys gestohlen werden konnten ist zum jetzigen Zeitpunkt unklar. Nach Veröffentlichung des Updates auf Version 5.2.0 wird jedoch allen Nutzern dazu geraten, ihre Guthaben unmittelbar in neue, sichere Wallets umzuziehen und die alten Private Keys nicht mehr zu verwenden. Die Veröffentlichung der betroffenen Version 5.0.7 in den App-Stores von Google und Apple fand am 12. November statt. Zuvor waren offenbar nur Versionen der 4.8-Linie in Umlauf gekommen, die aber nicht vom Schadcode betroffen sein sollen.

event-stream: Was ist passiert?

Wie Tarr inzwischen in einem ausführlichen Beitrag auf GitHub erläuterte, handelt es sich bei event-stream um ein Projekt, das er gestartet hat, als er sich selbst noch im Lernprozess befand. Inzwischen habe er den Spaß und das Interesse am Projekt verloren; er profitiere selbst nicht mehr davon, das Projekt zu pflegen. Außerdem habe er bereits in anderen Projekten weitere Entwickler mit hinzu genommen und ihnen die Rechte zur Veröffentlichung von neuen Versionen gegeben. Tarr verweist darauf, dass das Problem der Sicherheit und langfristigen Verwendbarkeit grundlegend bei vielen kleinen npm-Packages bestehe, die von nur einer Person gepflegt werden.

Diese Kritik teilen verschiedene Teilnehmer der Diskussion von GitHub und Twitter und verweisen darauf, dass es grundsätzlich problematisch sei, dass npm-Packages nicht vor der Installation auditiert werden; auch dann nicht, wenn ein neuer Contributor sie veröffentliche. Der Verweis darauf, doch besser künftig nur noch von großen Teams gepflegte, namenhafte Packages zu verwenden, scheint jedoch auch keine Lösung des Problems dazustellen.

So wurde ein zu ESLint gehörendes Package erst diesem Jahr gehackt, weil ein Entwickler ein Passwort mehrfach verwendete. npm gab damals an, dass solche Vorfälle durch eine bessere Authentifizierung vermieden werden können, die bereits zur Verfügung stehe. Auch dies kann jedoch nur einen Teil der Probleme lösen. Außerdem werden, so erläuterte npm damals, kontinuierlich alle Packages auf Schadcode geprüft. Eine bereits zurückgezogene Version war aber offenbar nicht davon erfasst.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -