Ein Benutzer von GitHub hat ein Event-Stream einer Bibliothek, die in vielen Node.js-Anwendung verwendet wird, unabsichtlich oder absichtlich mit Malware infiziert. Die Bitcoin Wallett Copay von BitPay ist ebenfalls betroffen. Die Frage ist jetzt, warum BitPay  Upstream-Entwicklern vertraut.

Ein Node.js Modul namens Event-Stream wird in Millionen von Webanwendungen verwendet. So auch in der BitPay Open-Source-Bitcoin-Wallet Copay. Dieses Modul wurde Berichten zufolge durch das, was als Social Engineering, Faulheit und Inkompetenz bezeichnet werden kann, beeinträchtigt.

Ein Benutzer mit sehr geringer Programmiertätigkeit auf GitHub beantragte die Veröffentlichungsrechte für die Event-Stream-Bibliothek von seinem früheren Betreuer Dominic Tarr, der sagte, dass er das Repository seit Jahren nicht mehr gepflegt habe und dem neuen Benutzer (right9ctrl), die Kontrolle gegeben hat.

Der Event-Stream der Bibliothek wird in vielen Node.js-Anwendungen verwendet. Laut einem Beschwerdeführer auf GitHub hat der neue Betreuer right9ctrl entweder hinterhältig Malware eingespritzt oder er hat dies unwissentlich getan. So oder so, dies hat den gleichen Effekt, nämlich, dass er private Schlüssel aus Anwendungen veröffentlichte, die sich sowohl auf das Event-stream- als auch auf das Copay-Dash-Modul verlassen.

Ayrton Sparling schrieb dazu:

,,Er hat Flatmap-Stream hinzugefügt, der vollständig (1 Commit zum Repo, hat aber 3 Versionen, die neueste entfernt die Injektion, nicht gewartet, vor 3 Monaten erstellt) ein Injection Targeting Ps-Tree ist. Nachdem er es fast zeitgleich mit der Injektion in den Flatmap-Stream eingefügt hat, beförderte er die Version nach oben und veröffentlichte sie. Buchstäblich der zweite Commit (3 Tage später), nachdem er die Injektion entfernt und die Hauptversion nach oben befördert hatte, so dass er die Repo von Flatmap-Stream löschen konnte – aber trotzdem alle (Millionen von wöchentlichen Installationen), die 3.x verwenden, wurden betroffen.“

Im Grunde genommen hat der Entwickler das Modul mit Malware aktualisiert und dann das Problem gepatcht, um eine Erkennung zu vermeiden. Die zahlreichen Personen, die es bereits installiert hatten, bleiben aber betroffen. Copay – dessen Open-Source-Code selbst von vielen Kryptoanwendungen verwendet wird – wäre nur einer von vielen, die die Bibliothek nutzen, aber er wird zufällig von einem Multi-Millionen-Dollar-Bitcoin-Zahlungsverarbeitungsunternehmen – BitPay – erstellt und gepflegt, was allein schon Fragen aufwirft.

Warum verwendet BitPay Upstream-Bibliotheken?

Diejenigen außerhalb der Open-Source-Entwicklung haben vielleicht das Vorurteil, dass alles aus Idealen oder als Hobby kostenlos gemacht wird, aber das ist bei weitem nicht der Fall. Der Großteil der großen und wichtigen Open-Source-Entwicklung, wie z.B. die Arbeit an Bitcoin Core oder die Arbeit am Linux-Kernel, wird von Entwicklern durchgeführt, die bei Unternehmen beschäftigt sind, die an der Entwicklung solcher Software beteiligt sind.

Unternehmen wie Red Hat bringen Code in den Linux Kernel ein und Unternehmen wie Blockstream beschäftigen Bitcoin Core Entwickler. Der Grund liegt auf der Hand: Während sie einfach auf Releases warten und sich auf die Arbeit anderer verlassen könnten, haben diese Unternehmen aber verständlicherweise Entwicklungsziele und vor allem viel Geld bei der Kernelentwicklung auf dem Spiel.

Dieses Modell funktioniert für die große Softwareentwicklung, und dieser Autor glaubt, dass es keinen Grund gibt, warum es hier nicht anwendbar sein sollte. Zu Recht sollte BitPay wohl keine Software auf Vertrauensbasis einsetzen. Millionen von Dollar in Kundengeldern werden ihnen anvertraut, nicht Upstream-Entwicklern. Wenn BitPay nicht daran interessiert ist, Bibliotheken wie den Event-Stream aktiv zu entwickeln, dann sollten sie Forked-Versionen verwenden und sicherstellen, dass jedes Update sicher ist. Stattdessen haben sie, wie viele Branchenvertreter behauptet haben, ihre Inkompetenz unter Beweis gestellt.

[Bild: Shutterstock]

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here