Découverte d’une vulnérabilité dans un portefeuille Bitcoin

Un module appelé event-stream, utilisé par des millions d’applications Web, et notamment dans Copay, le portefeuille open source Bitcoin de BitPay, aurait été compromis, ce qui est potentiellement aussi le cas pour d’autres portefeuilles.

BitPay a publié un avis indiquant que les versions de Copay 5.0.2 à 5.1.0 étaient affectées par le code malveillant et que les utilisateurs disposant de ces versions devraient éviter d’exécuter ou d’ouvrir l’application avant d’avoir installé Copay version 5.2.0.

“Notre équipe continue d’enquêter sur ce problème et sur l’ampleur de la vulnérabilité”, indique le communiqué officiel. “À l’heure actuelle, nous avons seulement confirmé que le code malveillant avait été déployé sur les versions 5.0.2 à 5.1.0 de nos applications Copay et BitPay. Cependant, l’application BitPay n’a pas été affecté par le code malveillant. Nous cherchons toujours à savoir si cette vulnérabilité du code a déjà été exploitée contre les utilisateurs de Copay”.

Copay, le portefeuille affecté, représente plus de 100 000 téléchargements sur Android, le nombre d’utilisateurs d’autres plateformes comme iOS ou Windows est quant à lui inconnu. Tous les autres portefeuilles utilisant ce module pourraient également être concernés, même si, au moment de la rédaction, aucun d’entre eux ne s’est manifesté.

Le problème provient d’un utilisateur de GitHub qui s’est proposé de prendre en charge la bibliothèque (library) en question, d’injecter le logiciel malveillant et de le patcher pour éviter de se faire repérer.

L’utilisateur, connu uniquement sous le nom de “right9ctrl”, a repris la maintenance du module à son créateur original, le développeur Dominic Tarr, qui a déclaré qu’il n’y avait pas touché depuis des années. En résumé, le développeur a mis à jour le module avec un logiciel malveillant, puis l’a caché, mais les nombreuses personnes qui l’avaient déjà installé restent concernées. Le célèbre développeur Jameson Lopp a expliqué:

Traduction: Le repository “event-stream” de NPM a été compromis. Si vous l’utilisez dans un projet avec “copay-dash”, le logiciel malveillant volera toutes les clés privées qu’il pourra trouver.
___
Jackson Palmer, l’entrepreneur australien plus connu pour avoir créé la fameuse cryptomonnaie “blague” Dogecoin, a ajouté:

Traduction: “C’est l’un des problèmes majeurs des portefeuilles de cryptomonnaies basés sur JavaScript avec de fortes dépendances en amont provenant de NPM. @BitPay faisait essentiellement confiance à tous les développeurs en amont pour ne jamais injecter de code malveillant dans leur portefeuille. @Dominictarr a laissé l’attaquant y entrer, malheureusement”.

Event-stream est téléchargé environ deux millions de fois par semaine par les programmeurs d’applications pour de nombreuses utilisations différentes. La version contenant le programme malveillant, Event-Stream v 3.3.6, a été mise en ligne le 9 septembre via le référentiel Node Package Manager (NPM). Depuis, elle a été téléchargée par près de 8 millions de programmeurs d’applications.

Le code malveillant aurait tenté de voler des cryptos stockées dans les portefeuilles Dash Copay Bitcoin – distribués via le NPM – et de les transférer sur un serveur situé à Kuala Lumpur. Les responsables de NPM ont retiré la backdoor de la liste de NPM lundi dernier.