Desenvolvedor falso insere código malicioso na carteira Copay da BitPay

A carteira Copay do processador de pagamentos em Bitcoin BitPay, sediado nos EUA, foi comprometida por um hacker, diz a empresa.

BitpayanunciadoNa segunda-feira, soube do problema por meio de um relatório do Copay no GitHub https://github.com/bitpay/copay/issues/9346 indicando que uma biblioteca JavaScript de terceiros usada pelos aplicativos havia sido modificada para carregar código malicioso.

O malware foi implantado nas versões 5.0.2 a 5.1.0 dos aplicativos de carteira Copay e BitPay e poderia ser usado para capturar chaves privadas para roubar Bitcoin e Bitcoin Cash.

BitPay disse:

“No entanto, o aplicativo BitPay não era vulnerável ao código malicioso. Ainda estamos investigando se essa vulnerabilidade de código foi explorada contra usuários do Copay,”

A empresa está pedindo aos usuários que não executem ou abram a carteira Copay se estiverem usando versões de 5.0.2 a 5.1.0. Ela agora lançou uma versão atualizada (5.2.0) sem o código malicioso para todos os usuários da carteira Copay e BitPay que estará disponível nas lojas de aplicativos "momentaneamente".

BitPay enfatizou: “Os usuários devem presumir que as chaves privadas nas carteiras afetadas podem ter sido comprometidas, então eles devem mover fundos para novas carteiras (v5.2.0) imediatamente.”

A Bitpay também aconselhou os usuários a não moverem fundos para novas carteiras importando suas frases de backup de 12 palavras, pois elas correspondem a "chaves privadas potencialmente comprometidas".

“Os usuários devem primeiro atualizar suas carteiras afetadas (5.0.2-5.1.0) e então enviar todos os fundos das carteiras afetadas para uma carteira totalmente nova na versão 5.2.0, usando o recurso Send Max para iniciar transações de todos os fundos”, explicou.

O ataque parece ter sido realizado por um suposto desenvolvedor chamado Right9ctrl que assumiu a manutenção da biblioteca NodeJS de seu autor que não tinha mais tempo para o trabalho, ZDNetrelatórios. O ataque de engenharia social ocorreu há cerca de três meses, quando o Right9ctrl obteve acesso ao repositório, momento em que injetou o malware.

Jackson Palmer, o criador da Criptomoeda Dogecoin , tweetouem resposta às notícias: "Este é um dos principais problemas com carteiras de Criptomoeda baseadas em JavaScript com pesadas dependências upstream vindas do NPM. A BitPay essencialmente confiou em todos os desenvolvedores upstream para nunca injetar código malicioso em sua carteira."

Códigoimagem via Shutterstock