黑客向热门javascript库注入恶意代码 窃取copay钱包的比特币-k8凯发棋牌

尽管上周已经发现了恶意代码的存在，但直到今天安全专家才理清这个严重混乱的恶意代码，了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门javascript库，通过注射恶意代码从bitpay的copay钱包应用中窃取比特币和比特币现金。

这个可以加载恶意程序的javascrip库叫做event-stream，非常受开发者欢迎，在npm.org存储库上每周下载量超过200万。但在三个月前，由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员right9ctrl。event-stream，是一个用于处理node.js流数据的javascript npm包。

根据twitter、github和hacker news上用户反馈，该恶意程序在默认情况下处于休眠状态，不过当copay启动（由比特币支付平台bitpay开发的桌面端和移动端钱包应用）之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息，并将其发送至copayapi.host的8080端口上。

目前已经确认9月至11月期间，所有版本的copay钱包都被认为已被感染。今天早些时候，bitpay团队发布了copay v5.2.2，已经删除event-stream和flatmap-stream依赖项。恶意的event-stream v3.3.6也已从npm.org中删除，但event-stream库仍然可用。这是因为right9ctrl试图删除他的恶意代码，发布了不包含任何恶意代码的后续版本的event-stream。

建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本--event-stream版本4.0.1。此链接包含所有3,900 javascript npm软件包的列表，其中event-stream作为直接或间接依赖项加载。