Una nueva vulnerabilidad afecta un módulo Node Package Manager (NPM) de nombre event-stream. Dicha librería es utilizada en millones de aplicaciones web, pero especialmente en la cartera de código abierto Copay de BitPay. Según el informe, el repositorio de event-stream fue comprometido.
BitPay publicó un aviso que dice que las versiones 5.0.2 a 5.1.0 de Copay, se vieron afectadas por el código malicioso y que los usuarios deben evitar ejecutar o abrir la aplicación hasta que instalen la versión 5.2.0 de Copay.
Copay, la billetera afectada, tiene más de 100.000 descargas de Android, mientras que la cantidad de usuarios de otras plataformas como iOS o Windows es desconocida.
Agregan que cualquier otra billetera que use este módulo también podría verse afectada.
En el anuncio oficial especifican que:
Nuestro equipo continúa investigando este problema y el alcance de la vulnerabilidad. Actualmente, solo se ha confirmado que el código malicioso se implementó en las versiones 5.0.2 a 5.1.0 de las aplicaciones Copay y BitPay. Sin embargo, la aplicación BitPay no es vulnerable al código malicioso. Todavía se está investigando si esta vulnerabilidad del código fue alguna vez explotada contra usuarios de Copay.
El inicio de la pesadilla
Todo comienza cuando un usuario del GitHub de event-stream que se ofrece voluntariamente para hacerse cargo de la biblioteca en cuestión, inyecto un malware y lo parcho para evitar su detección. Esta situación derivo rápidamente en la reacción de la comunidad de desarrollo en GitHub. Tras la alerta inicial en menos de una hora se soluciono el problema y se elevo la voz de alerta al resto de la comunidad de desarrolladores.
right9ctrl, el culpable de todo el embrollo, ya borro todo rastro de sus perfiles en Internet (NPM, GitHub). Este se hizo cargo del mantenimiento del módulo porque su creador original, el desarrollador Dominic Tarr, dijo que no había mantenido el repositorio en años. En una actualización del módulo, inyecto un malware y luego lo ocultó de la vista.
Se destaca que event-stream es una librería que es descargada aproximadamente dos millones de veces a la semana. event-stream en su versión v3.3.6, es la versión afectada. Se publicó el 9 de septiembre a través del repositorio Node Package Manager (NPM) y desde entonces ha sido descargada 8 millones de veces.
Posición oficial de BitPay
BitPay Wallet
Ante los hechos BitPay ha tomado delantera en el asunto declarando oficialmente lo siguiente:
Nuestro equipo continúa investigando este problema y el alcance de la vulnerabilidad. Mientras tanto, si está utilizando cualquier versión de Copay de 5.0.2 a 5.1.0, no debe ejecutar ni abrir la aplicación. Hemos puesto a disposición una versión de actualización de seguridad (5.2.0) que estará disponible en las tiendas de aplicaciones. Se debe asumir que las claves privadas en las billeteras afectadas pueden haber sido comprometidas, por lo que deben mover fondos a nuevas billeteras (v5.2.0) inmediatamente. No deben intentar mover fondos a nuevas billeteras importando las frases de respaldo de doce palabras de las billeteras afectadas (que corresponden a claves privadas potencialmente comprometidas). Se recomienda actualizar sus carteras afectadas (5.0.2-5.1.0) y luego enviar todos los fondos de las carteras afectadas a una nueva cartera en la versión 5.2.0, utilizando la función Send Máx.
