Bitpay 旗下 Copay 被定向供应链攻击事件分析

链讯 作者:慢雾科技 2018-11-28 12:47:24 阅读:9


 余弦@慢雾安全团队


Bitpay 旗下 Copay 被定向供应链攻击事件的来龙去脉,下面这篇分析很不错了,攻击手法也很辣,虽然污染了 EventStream,导致一大片直接或间接依赖这个模块的其他模块也都可能受影响(这个数字大概 3900 左右,包括很多知名项目),但最终只针对性攻击了 Copay,也就是说其他即使有这个后门在,也不会触发。


文章:event-stream vulnerability explained

链接:https://schneid.io/blog/event-stream-vulnerability-explained/



为什么只攻击了 Copay,看文中剖析出来的代码就会知道了:后门核心代码是 AES256 加密的,这是对称加密,解密用的是环境变 npm_package_description,而这个环境变量只有等于 Copay 的相关值才可以成功解开。这个思路确实很猥琐了,怪不得隐藏了两个月多,要不是其他地方的一些粗心大意导致被注意到,恐怕 Copay 的使用者们会很惨。毕竟 Copay 确实很知名,连我在调研时都有使用,比如其针对比特币和比特币现金的多签方案...


这个后门攻击 Copay 的行为可以参考 NPM 官方的分析:


This code would do the following: Detect the current environment: Mobile/Cordova/Electron Check the Bitcoin and Bitcoin Cash balances on the victim’s copay account If the current balance was greater than 100 Bitcoin, or 1000 Bitcoin Cash: Harvest the victim’s account data in full Harvest the victim’s copay private keys Send the victim’s account data/private keys off to a collection service running on 111.90.151.134. 


可怕可怕。 


供应链攻击是一种非常可怕的攻击方式,防御上没太好的方案,毕竟现在的软件工程,各种包/模块的依赖实在太频繁、太常见,而开发者们又不会都去一一检查,默认都过于信任这些包管理器,这导致这种攻击已经成为必选攻击之一。业内把这种攻击成为供应链攻击,就是为了形象说明这种攻击是一种依赖关系,一个链条,任意环节被感染都会导致链条之后的所有环节出问题。 我们也在努力沉淀针对供应链攻击的解决方案,如果有什么需要合作,欢迎随时联系。 最后,再次强烈建议:所有数字货币相关项目(如交易所、钱包、DApp 等)都应该强制至少一名核心技术完整 review 一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。供应链攻击不计代价,数字货币依然炙手可热。






慢雾媒体平台


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


币乎

https://bihu.com/people/586104


知识星球

https://t.zsxq.com/Q3zNvvF


[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接