Биткоин-кошелек Copay находится под ударом из-за уязвимости Node.js

Используемый во многих веб-приложениях модуль Node.js под названием event-stream был скомпрометирован, сообщает CCN.

Уязвимость ставит под удар, в частности, опенсорсный кошелек Copay от популярного биткоин-процессинга BitPay, использующий этот модуль.

Согласно жалобе на GitHub, разработчик right9ctrl внедрил в соответствующую библиотеку вредоносный код. Последний способен извлекать приватные ключи из приложений, где задействованы модули event-stream и copay-dash.

По словам разработчика Айртона Спарлинга, злоумышленник обновил модуль, задействовав в нем вредоносный код. Затем он устранил проблему во избежание ее обнаружения. Однако, отмечает Спарлинг, могут пострадать многие пользователи, которые скачали зараженную версию ПО.

В BitPay признали наличие уязвимости.

В блоге компании говорится, что вредоносный код был внедрен в версиях Copay с 5.0.2 по 5.1.0, однако самому приложению BitPay он угрозы не несет.

Представители компании порекомендовали пользователям не запускать версии Copay с 5.0.2 по 5.1.0. Разработчики уже выпустили исправленную версию (5.2.0), которая доступна в магазинах приложений.