Ein Benutzer von GitHub hat ein Event-Stream einer Bibliothek, die in vielen Node.js-Anwendung verwendet wird, unabsichtlich oder absichtlich mit Malware infiziert. Die Bitcoin Wallett Copay von BitPay ist ebenfalls betroffen. Die Frage ist jetzt, warum BitPay Upstream-Entwicklern vertraut.
Ein Node.js Modul namens Event-Stream wird in Millionen von Webanwendungen verwendet. So auch in der BitPay Open-Source-Bitcoin-Wallet Copay. Dieses Modul wurde Berichten zufolge durch das, was als Social Engineering, Faulheit und Inkompetenz bezeichnet werden kann, beeinträchtigt.
Ein Benutzer mit sehr geringer Programmiertätigkeit auf GitHub beantragte die Veröffentlichungsrechte für die Event-Stream-Bibliothek von seinem früheren Betreuer Dominic Tarr, der sagte, dass er das Repository seit Jahren nicht mehr gepflegt habe und dem neuen Benutzer (right9ctrl), die Kontrolle gegeben hat.
Der Event-Stream der Bibliothek wird in vielen Node.js-Anwendungen verwendet. Laut einem Beschwerdeführer auf GitHub hat der neue Betreuer right9ctrl entweder hinterhältig Malware eingespritzt oder er hat dies unwissentlich getan. So oder so, dies hat den gleichen Effekt, nämlich, dass er private Schlüssel aus Anwendungen veröffentlichte, die sich sowohl auf das Event-stream- als auch auf das Copay-Dash-Modul verlassen.
Ayrton Sparling schrieb dazu:
,,Er hat Flatmap-Stream hinzugefügt, der vollständig (1 Commit zum Repo, hat aber 3 Versionen, die neueste entfernt die Injektion, nicht gewartet, vor 3 Monaten erstellt) ein Injection Targeting Ps-Tree ist. Nachdem er es fast zeitgleich mit der Injektion in den Flatmap-Stream eingefügt hat, beförderte er die Version nach oben und veröffentlichte sie. Buchstäblich der zweite Commit (3 Tage später), nachdem er die Injektion entfernt und die Hauptversion nach oben befördert hatte, so dass er die Repo von Flatmap-Stream löschen konnte – aber trotzdem alle (Millionen von wöchentlichen Installationen), die 3.x verwenden, wurden betroffen.“
Im Grunde genommen hat der Entwickler das Modul mit Malware aktualisiert und dann das Problem gepatcht, um eine Erkennung zu vermeiden. Die zahlreichen Personen, die es bereits installiert hatten, bleiben aber betroffen. Copay – dessen Open-Source-Code selbst von vielen Kryptoanwendungen verwendet wird – wäre nur einer von vielen, die die Bibliothek nutzen, aber er wird zufällig von einem Multi-Millionen-Dollar-Bitcoin-Zahlungsverarbeitungsunternehmen – BitPay – erstellt und gepflegt, was allein schon Fragen aufwirft.
Warum verwendet BitPay Upstream-Bibliotheken?
An NPM package with 2,000,000 weekly downloads had malicious code injected into it. No one knows what the malicious code does yet. https://t.co/V4rdenu7Bm
— Gary Bernhardt (@garybernhardt) November 26, 2018
Dieses Modell funktioniert für die große Softwareentwicklung, und dieser Autor glaubt, dass es keinen Grund gibt, warum es hier nicht anwendbar sein sollte. Zu Recht sollte BitPay wohl keine Software auf Vertrauensbasis einsetzen. Millionen von Dollar in Kundengeldern werden ihnen anvertraut, nicht Upstream-Entwicklern. Wenn BitPay nicht daran interessiert ist, Bibliotheken wie den Event-Stream aktiv zu entwickeln, dann sollten sie Forked-Versionen verwenden und sicherstellen, dass jedes Update sicher ist. Stattdessen haben sie, wie viele Branchenvertreter behauptet haben, ihre Inkompetenz unter Beweis gestellt.
[Bild: Shutterstock]
