关于知名比特币钱包 Copay 被供应链攻击的一些思考

百家 作者:余弦 2018-11-28 06:36:18

这些思考发在“慢雾区”知识星球了,这里也同步下:


Bitpay 旗下 Copay 被定向供应链攻击事件的来龙去脉,下面这篇分析很不错了,攻击手法也很辣,虽然污染了 EventStream,导致一大片直接或间接依赖这个模块的其他模块也都可能受影响(这个数字大概 3900 左右,包括很多知名项目),但最终只针对性攻击了 Copay,也就是说其他即使有这个后门在,也不会触发。


文章:event-stream vulnerability explained

链接:https://schneid.io/blog/event-stream-vulnerability-explained/


为什么只攻击了 Copay,看文中剖析出来的代码就会知道了:后门核心代码是 AES256 加密的,这是对称加密,解密用的是环境变 npm_package_description,而这个环境变量只有等于 Copay 的相关值才可以成功解开。这个思路确实很猥琐了,怪不得隐藏了两个月多,要不是其他地方的一些粗心大意导致被注意到,恐怕 Copay 的使用者们会很惨。毕竟 Copay 确实很知名,连我在调研时都有使用,比如其针对比特币和比特币现金的多签方案...


这个后门攻击 Copay 的行为可以参考 NPM 官方的分析:


This code would do the following:

1. Detect the current environment: Mobile/Cordova/Electron

2. Check the Bitcoin and Bitcoin Cash balances on the victim’s copay account

3. If the current balance was greater than 100 Bitcoin, or 1000 Bitcoin Cash:

    *. Harvest the victim’s account data in full

    *. Harvest the victim’s copay private keys

    *. Send the victim’s account data/private keys off to a collection service running on 111.90.151.134. 


可怕可怕。 


供应链攻击是一种非常可怕的攻击方式,防御上没太好的方案,毕竟现在的软件工程,各种包/模块的依赖实在太频繁、太常见,而开发者们又不会都去一一检查,默认都过于信任这些包管理器,这导致这种攻击已经成为必选攻击之一。业内把这种攻击成为供应链攻击,就是为了形象说明这种攻击是一种依赖关系,一个链条,任意环节被感染都会导致链条之后的所有环节出问题。 我们也在努力沉淀针对供应链攻击的解决方案,如果有什么需要合作,欢迎随时联系。


最后,再次强烈建议:所有数字货币相关项目(如交易所、钱包、DApp 等)都应该强制至少一名核心技术完整 review 一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。供应链攻击不计代价,数字货币依然炙手可热。




推荐大家加入慢雾区,只专注区块链生态安全,里面会不定期推送区块链生态安全的相关情报与相关知识。最重要的是:当前还是免费的。扫描如下二维码可以加入。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接