aiutocomputerhelp
HowtoSicurezza Informatica

NodeJS per rubare i bitcoin : dio come programmo bene disse right9ctrl !

Giovanni Popolizio

La fiducia mal riposta. Come ti rubo i Bitcoin !

Un modulo NodeJS di terze parti ampiamente utilizzato con quasi 2 milioni di download alla settimana è stato compromesso dopo che uno dei suoi collaboratori open-source che è fallito e lo ha infettato con un codice dannoso programmato per rubare i fondi memorizzati nelle apps del portafoglio Bitcoin.

Come ti rubo i bitcoin
Come ti rubo i bitcoin – Un modulo di NodeJS per rubare i bitcoin

 

Ascolta

Si ma cosa è NodeJs ?

Da WK “Node.js è una piattaforma Open source event-driven per l’esecuzione di codice JavaScript Server-side, costruita sul motore JavaScript V8 di Google Chrome. Molti dei suoi moduli base sono scritti in JavaScript, e gli sviluppatori possono scrivere nuovi moduli in JavaScript.

In origine JavaScript veniva utilizzato principalmente lato client. In questo scenario gli script JavaScript, generalmente incorporati all’interno dell’HTML di una pagina web, vengono interpretati da un motore di esecuzione incorporato direttamente all’interno di un Browser. Node.js consente invece di utilizzare JavaScript anche per scrivere codice da eseguire lato server, ad esempio per la produzione del contenuto delle pagine web dinamiche prima che la pagina venga inviata al Browser dell’utente. Node.js in questo modo permette di implementare il cosiddetto paradigma “JavaScript everywhere” (Javascript ovunque), unificando lo sviluppo di applicazioni Web intorno ad un unico linguaggio di programmazione (JavaScript).”

La libreria Node.js in questione è “Event-Stream”, un toolkit che rende la vita facile agli sviluppatori per creare e lavorare con i flussi.
Il codice dannoso è stato aggiunto alla versione 3.3.3.6 di Event-Stream, pubblicata il 9 settembre tramite il repository di NPM, e da allora è stato scaricato da quasi 8 milioni di programmatori.

Come è successo ?

Il modulo Event-Stream per Node.js è stato originariamente creato da Dominic Tarr, che ha mantenuto a lungo la libreria Event-Stream, ma ha affidato lo sviluppo e la manutenzione del progetto diversi mesi fa a un programmatore sconosciuto, chiamato “right9ctrl.
Apparentemente, right9ctrl ha guadagnato la fiducia di Dominic dando alcuni contributi significativi al progetto.
Dopo aver ottenuto l’accesso alla libreria, il nuovo legittimo manutentore “Right9ctrl” rilasciò Event-Stream versione 3.3.6, contenente una nuova libreria, chiamata Flatmap-Stream, come dipendenza, che è stata creata specificamente per gli scopi di questo attacco e include il codice maligno.
Da quando il modulo flatmap-stream è stato criptato, il codice dannoso è rimasto inosservato per più di 2 mesi fino a quando Ayrton Sparling (FallingSnow), uno studente di informatica della California State University, ha segnalato il problema  su GitHub.

Il codice maligno ha tentato di rubare le monete digitali immagazzinate nei portafogli di Dash Copay Bitcoin – distribuiti attraverso il Node Package Manager (NPM) – e trasferirle a un server situato a Kuala Lumpur.

Insomma se avete fondi in portafoglio .. trasferiteli !