พบไลบรารี JavaScript ยอดนิยมถูกฝังโค้ดอันตรายขโมย Bitcoin

มีรายงานพบไลบรารี JavaScript ชื่อ ‘Event-Stream’ ที่ถูกดาวน์โหลดไปแล้วหลายล้านครั้งได้ถูกแฮ็กเกอร์ฝังโค้ดอันตรายเข้ามาเพื่อมุ่งขโมย Bitcoin และ Bitcoin Cash จากแอปพลิเคชันกระเป๋าเงิน Bitcoin ที่ชื่อ Copay

Credit: Andrey Popov/ShutterStock

ไอเดียคือ Event-Stream นั้นเป็นไลบรารี JavaScript ที่เอาไว้ใช้ทำงานร่วมกับโมดูลด้าน Streaming ของ Node.js โดยได้ถูกฝากไว้บน npmis.com (Repository แห่งหนึ่ง) ซึ่งเจ้าของโปรเจ็คเดิมที่ชื่อ Dominic Tarr ได้ส่งมอบโปรเจ็คนี้แก่โปรแกรมเมอร์รายหนึ่งที่ใช้ชื่อว่า right9ctrl (ในโลกของซอฟต์แวร์สมัยใหม่ เช่น GitHub ถ้ามีโปรเจ็คไหนร้างคนอื่นสามารถนำไปดูแลต่อได้) แต่ชะรอยมีผู้ใช้งานได้สังเกตพบว่า right9ctrl ได้มีการแอบเพิ่ม Dependency ตัวใหม่ (ส่วนประกอบที่ต้องผนวกเข้ามาเพื่อให้โปรแกรมทำงานได้) ชื่อ ‘Flatmap-Stream library v0.1.1’ ที่ภายในมีโค้ดอันตรายแฝงอยู่

จากการศึกษาของผู้ใช้พบว่าโค้ดอันตรายจะไม่แสดงอาการจนกว่าจะถูกใช้ภายในซอร์สโค้ดของ Copay (แอปพลิเคชันกระเป๋าเงิน Bitcoin) เพื่อขโมยข้อมูล เช่น Private Key และส่งต่อให้กับ URL copayapi.host ผ่านทางพอร์ต 8080 ซึ่งทางทีมงานแอปพลิเคชันได้ออกมาบอกแล้วว่าเวอร์ชันที่ได้รับผลกระทบจากเหตุการณ์นี้คือ 5.0.1 และ 5.1.0 ดังนั้นให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 5.2.0 หรือสูงกว่า

อย่างไรก็ตามตอนนี้ Flatmap-Stream ถูกลบออกจาก npmis.com และไม่สามารถเข้าถึงได้แล้ว รวมถึง Event-Stream v3.3.6 ด้วย แต่ Event-Stream เวอร์ชันเดิมยังคงอยู่เพราะจริงๆ แล้วแฮ็กเกอร์ไปดึงโค้ดอันตรายเพิ่มเข้ามาในเวอร์ชันที่แตกออกไปเท่านั้นเอง สำหรับใครที่ใช้ไลบรารี 2 ตัวนี้ควรจะไปอัปเดต Dependency Tree ของตัวเองกันด้วยและบางรายอาจจะต้องอัปเดตหรือลบด้วยตัวเองเพราะมีการใช้แคชเก็บข้อมูลแบบ Local ไว้อยู่ ทั้งๆ ที่ไลบรารีเวอร์ชันของคนร้ายถูกปิดไปแล้วบน Repository

ที่มา : https://www.zdnet.com/article/hacker-backdoors-popular-javascript-library-to-steal-bitcoin-funds/ และ https://www.bleepingcomputer.com/news/security/backdoor-in-popular-javascript-library-set-to-steal-cryptocurrency/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

เตือนเว็บ Office 365 ปลอม เสี่ยงถูกหลอกลง Trickbot Trojan ขโมยรหัสผ่าน

MalwareHunterTeam ออกมาแจ้งเตือนถึงเว็บ Office 365 ปลอมที่ใช้แพร่กระจาย Trickbot Trojan เสี่ยงอาจถูกขโมยรหัสผ่านได้