Хакер під псевдонімом Right9ctrl обманом отримав доступом до популярної бібліотеки JavaScript, заразив її шкідливим кодом і отримав доступ до біткоїн-гаманців її користувачів, повідомляє Медуза з посиланням на ZDNet. За оцінками видання, зловмисник міг отримати дані декількох мільйонів користувачів.

У бібліотеках JavaScript міститься код з елементами управління, який розробники додатків можуть використовувати, щоб не писати відповідні елементи з нуля. Right9ctrl отримав доступ до бібліотеки Event-Stream, якій щотижня користуються до двох мільйонів чоловік. Серед користувачів — як стартапи, так і великі компанії.

Про те, що бібліотека заражена, стало відомо на початку листопада 2018 року, проте деякий час залишалося незрозуміло, що саме робив шкідливий код.

Хакер написав нову версію бібліотеки. Доданий в ній код не робив нічого до тих пір, поки користувач не запускав додаток Copay — електронний гаманець, розроблений біткоїновою платіжною системою BitPay. У Copay використовується, в тому числі, бібліотека Event-Stream.

При відкритті гаманця шкідливий код з бібліотеки додавався код Copay, викрадав дані користувачів, включаючи секретні ключі, і відправляв на сервер в Куала-Лумпурі. Ймовірно, з допомогою цих даних Right9ctrl міг виводити криптовалюту з гаманців уражених користувачів.

Представники Copay визнали вразливість і закликали користувачів терміново оновити додатки до нової версії. Шкідлива версія Event-Stream 3.3.6 також була видалена з репозиторію.

Вдалося хакеру Right9ctrl вкрасти криптовалюту з рахунків користувачів бібліотеки, невідомо. Вирахувати зловмисника, якому вдалося відвести біткоїни таким способом, практично неможливо, а застрахувати заощадження в криптовалюті не можна — на відміну від звичайних грошових вкладів.l