พบไลบรารี JavaScript ยอดนิยมถูกฝังโค้ดอันตรายขโมย Bitcoin

มีรายงานพบไลบรารี JavaScript ชื่อ ‘Event-Stream’ ที่ถูกดาวน์โหลดไปแล้วหลายล้านครั้งได้ถูกแฮ็กเกอร์ฝังโค้ดอันตรายเข้ามาเพื่อมุ่งขโมย Bitcoin และ Bitcoin Cash จากแอปพลิเคชันกระเป๋าเงิน Bitcoin ที่ชื่อ Copa

ไอเดียคือ Event-Stream นั้นเป็นไลบรารี JavaScript ที่เอาไว้ใช้ทำงานร่วมกับโมดูลด้าน Streaming ของ Node.js โดยได้ถูกฝากไว้บน npmis.com (Repository แห่งหนึ่ง) ซึ่งเจ้าของโปรเจ็คเดิมที่ชื่อ Dominic Tarr ได้ส่งมอบโปรเจ็คนี้แก่โปรแกรมเมอร์รายหนึ่งที่ใช้ชื่อว่า right9ctrl (ในโลกของซอฟต์แวร์สมัยใหม่ เช่น GitHub ถ้ามีโปรเจ็คไหนร้างคนอื่นสามารถนำไปดูแลต่อได้) แต่ชะรอยมีผู้ใช้งานได้สังเกตพบว่า right9ctrl ได้มีการแอบเพิ่ม Dependency ตัวใหม่ (ส่วนประกอบที่ต้องผนวกเข้ามาเพื่อให้โปรแกรมทำงานได้) ชื่อ ‘Flatmap-Stream library v0.1.1’ ที่ภายในมีโค้ดอันตรายแฝงอยู่

จากการศึกษาของผู้ใช้พบว่าโค้ดอันตรายจะไม่แสดงอาการจนกว่าจะถูกใช้ภายในซอร์สโค้ดของ Copay (แอปพลิเคชันกระเป๋าเงิน Bitcoin) เพื่อขโมยข้อมูล เช่น Private Key และส่งต่อให้กับ URL copayapi.host ผ่านทางพอร์ต 8080 ซึ่งทางทีมงานแอปพลิเคชันได้ออกมาบอกแล้วว่าเวอร์ชันที่ได้รับผลกระทบจากเหตุการณ์นี้คือ 5.0.1 และ 5.1.0 ดังนั้นให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 5.2.0 หรือสูงกว่า

อย่างไรก็ตามตอนนี้ Flatmap-Stream ถูกลบออกจาก npmis.com และไม่สามารถเข้าถึงได้แล้ว รวมถึง Event-Stream v3.3.6 ด้วย แต่ Event-Stream เวอร์ชันเดิมยังคงอยู่เพราะจริงๆ แล้วแฮ็กเกอร์ไปดึงโค้ดอันตรายเพิ่มเข้ามาในเวอร์ชันที่แตกออกไปเท่านั้นเอง สำหรับใครที่ใช้ไลบรารี 2 ตัวนี้ควรจะไปอัปเดต Dependency Tree ของตัวเองกันด้วยและบางรายอาจจะต้องอัปเดตหรือลบด้วยตัวเองเพราะมีการใช้แคชเก็บข้อมูลแบบ Local ไว้อยู่ ทั้งๆ ที่ไลบรารีเวอร์ชันของคนร้ายถูกปิดไปแล้วบน Repository

ที่มา : https://www.zdnet.com/article/hacker-backdoors-popular-javascript-library-to-steal-bitcoin-funds/ และ https://www.bleepingcomputer.com/news/security/backdoor-in-popular-javascript-library-set-to-steal-cryptocurrency/