Untung Ketauan, Developer N4k4l Menginveksi Library NodeJS Untuk Curi Bitcoin

Node JS

Sebuah modul NodeJS pihak ketiga yang digunakan secara luas dengan hampir 2 juta download dalam sepekan, telah dikompromikan atas ulah salah satu kontributor open source-nya, dia menginfeksinya dengan kode jahat yang diprogram untuk mencuri saldo yang disimpan dalam aplikasi dompet Bitcoin.

Node.js library yang di maksud adalah "Event-Stream," sebuah toolkit berisi kumpulan fungsi, objek, dan kelas, biasa digunakan untuk memudahkan kerja pengembang dalam proses pembuatan sebuah aplikasi.

Kode berbahaya terdeteksi pada awal pekan ini yang menginfeksi Event-Stream versi 3.3.6, yang diterbitkan pada 9 September melalui repositori NPM , dan sejak itu telah diunduh oleh hampir 8 juta pemrogram aplikasi.

Modul Event-Stream untuk Node.js pada awalnya dibuat oleh Dominic Tarr, yang mengelola library Event-Stream untuk waktu yang lama, tetapi telah menyerahkan pengembangan dan pemeliharaan proyek itu kepada programmer yang dikenal dengan nama "right9ctrl" pada bulan lalu.

Sepertinya right9ctrl mendapat kepercayaan penuh dari Dominic dengan memberikan kontribusi yang berarti bagi proyek tersebut.

Setelah mendapatkan akses ke pustaka Event-Stream, "Right9ctrl" merilis Event-Stream versi 3.3.6, berisi library baru dengan nama Flatmap-Stream, sebagai dependensi yang secara khusus dibuat untuk tujuan serangan ini dan menyertakan kode berbahaya di dalamnya.

Parahnya selama lebih dari 2 bulan kode berbahaya itu tetap tidak terdeteksi karena modul flatmap-stream dienkripsi, hingga suatu saat untungnya ada seorang mahasiswa ilmu komputer di California State University yang bernama Ayrton Sparling (FallingSnow), mengungkap hal ini pada hari Selasa di GitHub .

Manajer proyek open source NPM yang menjadi host event-stream menemukan bahwa modul jahat telah dirancang untuk menargetkan orang yang menggunakan aplikasi bitcoin, bitcoin BitPay, Copay, perusahaan yang menggabungkan event-stream  ke dalam aplikasinya.

Kode berbahaya di rancang untuk mencuri koin digital yang disimpan di dompet Dash Copay Bitcoin — didistribusikan melalui Node Package Manager (NPM) — dan mentransfernya ke server yang berlokasi di Kuala Lumpur.

Pejabat dari NPM — manajer proyek open source yang meng-hosted event-stream, mengatakan telah menghapus backdoor dari daftar NPM pada hari Senin minggu ini.

Pihak BitPay memberikan saran agar pengguna dengan versi Copay 5.0.2 hingga 5.1.0  agar tidak membuka aplikasi, dan segera memperbarui aplikasi ke Copay versi 5.2.0.

Sumber: bit.ly/btcnodejs
Foto: pexels.com