关于知名比特币钱包 Copay 被供应链攻击的一些思考

这些思考发在“慢雾区”知识星球了，这里也同步下：

Bitpay 旗下 Copay 被定向供应链攻击事件的来龙去脉，下面这篇分析很不错了，攻击手法也很辣，虽然污染了 EventStream，导致一大片直接或间接依赖这个模块的其他模块也都可能受影响（这个数字大概 3900 左右，包括很多知名项目），但最终只针对性攻击了 Copay，也就是说其他即使有这个后门在，也不会触发。

文章：event-stream vulnerability explained

链接：https://schneid.io/blog/event-stream-vulnerability-explained/

为什么只攻击了 Copay，看文中剖析出来的代码就会知道了：后门核心代码是 AES256 加密的，这是对称加密，解密用的是环境变 npm_package_description，而这个环境变量只有等于 Copay 的相关值才可以成功解开。这个思路确实很猥琐了，怪不得隐藏了两个月多，要不是其他地方的一些粗心大意导致被注意到，恐怕 Copay 的使用者们会很惨。毕竟 Copay 确实很知名，连我在调研时都有使用，比如其针对比特币和比特币现金的多签方案...

这个后门攻击 Copay 的行为可以参考 NPM 官方的分析：

This code would do the following:

1. Detect the current environment: Mobile/Cordova/Electron

2. Check the Bitcoin and Bitcoin Cash balances on the victim’s copay account

3. If the current balance was greater than 100 Bitcoin, or 1000 Bitcoin Cash:

    *. Harvest the victim’s account data in full

    *. Harvest the victim’s copay private keys

    *. Send the victim’s account data/private keys off to a collection service running on 111.90.151.134. 

可怕可怕。 

供应链攻击是一种非常可怕的攻击方式，防御上没太好的方案，毕竟现在的软件工程，各种包/模块的依赖实在太频繁、太常见，而开发者们又不会都去一一检查，默认都过于信任这些包管理器，这导致这种攻击已经成为必选攻击之一。业内把这种攻击成为供应链攻击，就是为了形象说明这种攻击是一种依赖关系，一个链条，任意环节被感染都会导致链条之后的所有环节出问题。 我们也在努力沉淀针对供应链攻击的解决方案，如果有什么需要合作，欢迎随时联系。

最后，再次强烈建议：所有数字货币相关项目（如交易所、钱包、DApp 等）都应该强制至少一名核心技术完整 review 一遍所有第三方模块，看看是否存在可疑代码，也可以抓包看看是否存在可疑请求。供应链攻击不计代价，数字货币依然炙手可热。

---

推荐大家加入慢雾区，只专注区块链生态安全，里面会不定期推送区块链生态安全的相关情报与相关知识。最重要的是：当前还是免费的。扫描如下二维码可以加入。