关于知名比特币钱包 Copay 被供应链攻击的一些思考
这些思考发在“慢雾区”知识星球了,这里也同步下:
Bitpay 旗下 Copay 被定向供应链攻击事件的来龙去脉,下面这篇分析很不错了,攻击手法也很辣,虽然污染了 EventStream,导致一大片直接或间接依赖这个模块的其他模块也都可能受影响(这个数字大概 3900 左右,包括很多知名项目),但最终只针对性攻击了 Copay,也就是说其他即使有这个后门在,也不会触发。
文章:event-stream vulnerability explained
链接:https://schneid.io/blog/event-stream-vulnerability-explained/
为什么只攻击了 Copay,看文中剖析出来的代码就会知道了:后门核心代码是 AES256 加密的,这是对称加密,解密用的是环境变 npm_package_description,而这个环境变量只有等于 Copay 的相关值才可以成功解开。这个思路确实很猥琐了,怪不得隐藏了两个月多,要不是其他地方的一些粗心大意导致被注意到,恐怕 Copay 的使用者们会很惨。毕竟 Copay 确实很知名,连我在调研时都有使用,比如其针对比特币和比特币现金的多签方案...
这个后门攻击 Copay 的行为可以参考 NPM 官方的分析:
This code would do the following:
1. Detect the current environment: Mobile/Cordova/Electron
2. Check the Bitcoin and Bitcoin Cash balances on the victim’s copay account
3. If the current balance was greater than 100 Bitcoin, or 1000 Bitcoin Cash:
*. Harvest the victim’s account data in full
*. Harvest the victim’s copay private keys
*. Send the victim’s account data/private keys off to a collection service running on 111.90.151.134.
可怕可怕。
供应链攻击是一种非常可怕的攻击方式,防御上没太好的方案,毕竟现在的软件工程,各种包/模块的依赖实在太频繁、太常见,而开发者们又不会都去一一检查,默认都过于信任这些包管理器,这导致这种攻击已经成为必选攻击之一。业内把这种攻击成为供应链攻击,就是为了形象说明这种攻击是一种依赖关系,一个链条,任意环节被感染都会导致链条之后的所有环节出问题。 我们也在努力沉淀针对供应链攻击的解决方案,如果有什么需要合作,欢迎随时联系。
最后,再次强烈建议:所有数字货币相关项目(如交易所、钱包、DApp 等)都应该强制至少一名核心技术完整 review 一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。供应链攻击不计代价,数字货币依然炙手可热。
推荐大家加入慢雾区,只专注区块链生态安全,里面会不定期推送区块链生态安全的相关情报与相关知识。最重要的是:当前还是免费的。扫描如下二维码可以加入。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 共绘亚太下一个“黄金三十年” 7982207
- 2 山里藏价值6000亿元黄金?村民发声 7994382
- 3 微信或史诗级“瘦身” 内存有救了 7898523
- 4 中国主张成为G20峰会的一抹亮色 7734048
- 5 朝鲜将军队提升至战斗准备状态 7610224
- 6 男生解锁“滑步下泰山”技能 7559090
- 7 女教师被指出轨学生 校方通报 7410130
- 8 带96岁母亲酒店养老遭拉黑 男子发声 7380150
- 9 《小巷人家》全员告别 7296271
- 10 千年古镇“因网而变、因数而兴” 7193076