Event-Stream adlı paketi etkileyen bu zararlı kodun içinde bulunduğu kod, Node.js yayın modülleriyle çalışmayı kolaylaştırması için var. Zararlı kodun varlığı geçen hafta keşfedilmiş olmasına rağmen, kodun çözülmesi ve açığa çıkarılması bir hafta sürdü.
Kütüphanenin geliştiricisi olan Dominic Tarr, uzun süredir kullanmadığı bu kodun bakımını yapmak isteyen right9ctrl isimli kullanıcıya modülü devretmişti. Daha sonra bir “Updated” versiyon yayınlayan right9ctrl’nin zararlı yazılımı eklediği düşünülüyor.
Kodu analiz eden kullanıcılara göre zararlı yazılımın hedefinde Copay Bitcoin cüzdanı kullanan cüzdan uygulamaları var. Başarıyla çalıştığında kripto para cüzdan bilgilerini çalmayı amaçlayan kod, daha sonra copayapi.host adresine, Malezya’daki 111.90.151.134 IP adresine bağlanmaya çalışıyor.
right9ctrl’nin şu anda yayında olan Event-Stream kütüphanesi hala kullanımda ancak son versiyonunda hiçbir sorun gözükmüyor. İki ay önce yapılan güncellemede zararlı kod çıkarılmış olarak gözüküyor.
GitHub kullanıcıları ise bunun iz kaybettirme taktiği olduğunu düşünüyor. Kullanıcılara göre hem zararlı kodu korumak hem de testlerde temiz gözükmek mümkün.
Copay ise 5.2.2 versiyonunda sıkıntı yaşamasına sebep olabilecek her iki JavaScript kütüphanesinden kurtulmuş durumda.
