A biblioteca Event-Stream, disponível para a plataforma Node.js, foi contaminada com um código que permitia um backdoor nas versões de 5.0.2 até 5.1.0 dos aplicativos Copay e BitPay. É uma biblioteca de JavaScript muito popular, com mais de dois milhões de downloads semanais no repositório npm.org. Infelizmente, três meses atrás o autor da biblioteca passou a manutenção para outro desenvolvedor chamado @Right9ctrl. Neste momento, esse perfil já não existe mais no Twitter ou no GitHub. Ele desapareceu na poeira da Internet.
Ele publicou a veersão Event-Stream 3.3.6 com uma nova dependência: a versão 0.1.1 da biblioteca Flatmap-Stream. è nessa biblioteca Flatmap-Stream v0.1.1 que está o código malicioso.
A Bitpay publicou ontem um comunicado sobre o assunto, informando que o código malicioso permitiria a um cibercriminoso capturar as chaves privadas dos usuários. A empresa informou que o código não atinge os usuários do aplicativo BitPay e que irá verificar se algum usuário do CoPay foi prejudicado. A presença do código foi descoberta na semana passada, mas só ontem os pesquisadores conseguiram entendê-lo porque estava profundamente ofuscado. Uma nova versão (v5.2.0) dos aplicativos foi publicada ainda ontem.
Segundo o comunicado da Bitpay, “os usuários devem assumir que as chaves privadas nas carteiras afetadas podem ter sido comprometidas, e portanto, devem transferir os fundos para novas carteiras (v5.2.0) imediatamente. Os usuários não devem tentar transferir fundos para novas carteiras importando as frases de backup de doze palavras das carteiras afetadas (que correspondem a chaves privadas potencialmente comprometidas). Os usuários devem primeiro atualizar suas carteiras afetadas (de 5.0.2 a 5.1.0) e depois enviar todos os fundos das carteiras afetadas para uma nova carteira na versão 5.2.0, usando o recurso Enviar Max para iniciar transações de todos os fundos”.
