Социальная инженерия – вот главное оружие хакера, всегда им было и будет, как завещал Кевин Митник. Никогда такого не было, и вот опять: в августе 2018 года создатель популярной библиотеки JavaScript Event-Stream Доминик Тарр передал права администратора человеку, предложившему «помочь с ее поддержкой». «Не знаю даже, что сказать», – написал он на GitHub в ноябре, когда стало ясно, что произошло.
Произошло следующее – «доброжелателем» оказался хакер под псевдонимом Right9ctrl, который заразил библиотеку вредоносным кодом, позволявшим ему получить доступ к биткоин-кошелькам ее пользователей. По оценкам издания ZDNet, злоумышленник мог получить данные нескольких миллионов пользователей. Еженедельно библиотекой Event-Stream пользуются до двух миллионов человек, причем как стартапы, так и крупные компании, входящие в Fortune 500.
Как же так получилось? В библиотеках JavaScript содержится код с элементами управления, который разработчики приложений могут использовать, чтобы не писать соответствующие элементы с нуля. Получив доступ к Event-Stream, Right9ctrl написал новую версию библиотеки (3.3.6). Добавленный в ней код не делал ничего до тех пор, пока пользователь не запускал приложение Copay – электронный кошелек, разработанный биткоиновой платежной системой BitPay. В Copay используется, в том числе, библиотека Event-Stream.
При открытии кошелька вредоносный код из библиотеки добавлялся в код Copay, похищал данные пользователей, включая секретные ключи, и отправлял на сервер в Куала-Лумпуре. Остается только догадываться, что происходило дальше (мы почему-то думаем, что вывод средств и adios). Ущерб оценить пока не представляется возможным.