关于知名比特币钱包 Copay 被供应链攻击的一些思考
这些思考发在“慢雾区”知识星球了,这里也同步下:
Bitpay 旗下 Copay 被定向供应链攻击事件的来龙去脉,下面这篇分析很不错了,攻击手法也很辣,虽然污染了 EventStream,导致一大片直接或间接依赖这个模块的其他模块也都可能受影响(这个数字大概 3900 左右,包括很多知名项目),但最终只针对性攻击了 Copay,也就是说其他即使有这个后门在,也不会触发。
文章:event-stream vulnerability explained
链接:https://schneid.io/blog/event-stream-vulnerability-explained/
为什么只攻击了 Copay,看文中剖析出来的代码就会知道了:后门核心代码是 AES256 加密的,这是对称加密,解密用的是环境变 npm_package_description,而这个环境变量只有等于 Copay 的相关值才可以成功解开。这个思路确实很猥琐了,怪不得隐藏了两个月多,要不是其他地方的一些粗心大意导致被注意到,恐怕 Copay 的使用者们会很惨。毕竟 Copay 确实很知名,连我在调研时都有使用,比如其针对比特币和比特币现金的多签方案...
这个后门攻击 Copay 的行为可以参考 NPM 官方的分析:
This code would do the following:
1. Detect the current environment: Mobile/Cordova/Electron
2. Check the Bitcoin and Bitcoin Cash balances on the victim’s copay account
3. If the current balance was greater than 100 Bitcoin, or 1000 Bitcoin Cash:
*. Harvest the victim’s account data in full
*. Harvest the victim’s copay private keys
*. Send the victim’s account data/private keys off to a collection service running on 111.90.151.134.
可怕可怕。
供应链攻击是一种非常可怕的攻击方式,防御上没太好的方案,毕竟现在的软件工程,各种包/模块的依赖实在太频繁、太常见,而开发者们又不会都去一一检查,默认都过于信任这些包管理器,这导致这种攻击已经成为必选攻击之一。业内把这种攻击成为供应链攻击,就是为了形象说明这种攻击是一种依赖关系,一个链条,任意环节被感染都会导致链条之后的所有环节出问题。 我们也在努力沉淀针对供应链攻击的解决方案,如果有什么需要合作,欢迎随时联系。
最后,再次强烈建议:所有数字货币相关项目(如交易所、钱包、DApp 等)都应该强制至少一名核心技术完整 review 一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。供应链攻击不计代价,数字货币依然炙手可热。
推荐大家加入慢雾区,只专注区块链生态安全,里面会不定期推送区块链生态安全的相关情报与相关知识。最重要的是:当前还是免费的。扫描如下二维码可以加入。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平会见马来西亚总理安瓦尔 7959181
- 2 轰6k机舱门上挂着朴实无华的U型锁 7955584
- 3 多名运动员为王楚钦发声 7853795
- 4 微视频|我的名字 7777665
- 5 网友疑似过敏发现蘑菇在释放孢子 7662190
- 6 男童被生母及男友打死 姥姥望严判 7575079
- 7 外交部回应特朗普涉台言论 7457301
- 8 福布斯2024中国内地富豪榜公布 7383372
- 9 张小寒爆料黄晓明叶珂分手费内幕 7245524
- 10 鹿晗删了宣传关晓彤新剧的动态 7153616