کمیته رکن چهارم – به تازگی یک هکر به طور قانونی به یک کتابخانه شناخته شده جاوااسکریپت دسترسی پیدا و کد مخرب در آن تزریق کرده است.
به نقل از وبسایت ZDNet، وجود کد مخرب در یکی از کتابخانه شناخته شده جاوا اسکریپت در هفته گذشته شناسایی شد، اما پژوهشگران در روز گذشته جزئیات این کد مبهمسازی شده را بدست آوردند. کتابخانهای که کد مخرب در آن تزریق شده است Event-Stream نام دارد. این کتابخانه بسیارمحبوب، یک بسته جاوااسکریپت npm است که با Node.js کار میکند و هر هفته بیش از دو میلیون بار از npm.org دانلود میشود. حدود سه ماه گذشته، نویسنده اصلی این کتابخانه توسعه آنرا به برنامهنویس دیگری با نامکاربری Right۹ctrl واگذار کرد.
هفته گذشته یکی از کاربران متوجه شد که توسعهدهنده جدید این کتابخانه آنرا با کد مخرب آلوده کرده است. این توسعهدهنده نسخه ۳,۳.۶ Event-Stream را به همراه یک وابستگی به نسخه ۰.۱.۱ Flatmap-Stream منتشر کرد. کد مخرب در این وابستگی وجود دارد.
هدف این توسعهدهنده سرقت اطلاعات کیف پول ارزهای دیجیتالی کاربران بوده است. کد مخرب اطلاعات کیف پولها، از جمله کلید خصوصی آنها را به سرقت میبرد و آنها را به آدرس copayapi[.]host روی پورت ۸۰۸۰ ارسال میکند.
نسخه مخرب این کتابخانه از npm حذف و نسخه ۴,۰.۱ Event-Stream جایگزین آن شده است. در صورتی که کاربران از این کتابخانهها استفاده میکنند، باید وابستگیهای پروژه خود را به آخرین نسخه بروزرسانی کنند.
این اتفاق اولین بار نیست که یک کتابخانه محبوب جاوااسکریپت با کد مخرب آلوده میشود. در ماه جولای سال جاری هکری کتابخانه ESLint را با خود مخرب آلوده کرد. در ماه می نیز کتابخانه getcookies با یک در پشتی آلوده شد. همچنین در ماه آگوست تیم npm ۳۸ بسته جاوااسکریپت حاوی کدهای سارق اطلاعات حساس کاربران، از جمله گذرواژهها و کلیدهای API را از این منبع حذف کرد.
