В ходе аудита кошелька Agama, предназначенного для работы с криптовалютой Komodo (KMD) и альткоинами, эксперты npm обнаружили опасную уязвимость, которая угрожала безопасности пользователей.
Исследователи заметили вредоносное обновление в составе библиотеки electron-native-notify (версия 1.1.6) — после обновления в ее коде появилась функциональность для хищения seed кошельков и парольных фраз из криптовалютных приложений. Эксперты не сразу поняли, что имеют дело с атакой на цепочку поставок: вредоносная библиотека была нацелена на разработчиков приложения, которые в итоге внедрили ставшую вредоносной библиотеку в свой продукт. Как не трудно понять, этим приложением был кошелек Agama, созданный командой Komodo, и использующий в работе EasyDEX-GUI. Именно EasyDEX-GUI, как оказалось, подгружал опасную библиотеку electron-native-notify.
Хотя вредоносный код появился в electron-native-notify еще в марте 2019 года, в Agama он проник только 13 апреля 2019 года, с выходом версии Agama 0.3.5. По данным специалистов npm, код злоумышленников функционировал так, как и было задумано: похищал seed’ы и парольные фразы и передавал эти данные на удаленный сервер. В итоге операторы этой кампании получали возможность похитить средства пользователей Agama.
Когда о проблеме стало известно, разработчики Komodo приняли решение действовать и срочно обезопасить своих пользователей и их средства. Для этого они эксплуатировали ту же уязвимость, что и злоумышленники, в итоге получили в свое распоряжение множество seed’ов, а затем вывели все средства из-под удара.
Согласно официальному сообщению, таким образом с уязвимых кошельков было спасено около 8 000 000 токенов KMD и 96 BTC. В противном случае эти средства могли бы украсть злоумышленники. Средства были переведены на кошельки RSgD2cmm3niFRu2kwwtrEHoHMywJdkbkeF (KMD) и 1GsdquSqABxP2i7ghUjAXdtdujHjVYLgqk (BTC), где, как уверяют разработчики, они находятся в полной безопасности и под контролем команды Komodo. Пользователи могут запросить возврат своих токенов через специально созданную страницу. Также рекомендуется завести новые адреса KMD и BTC, использовать новые seed’ы и парольные фразы.