【得得预警】供应链攻击再起，黑客入侵JavaScript库窃取钱包比特币

【链得得播报】链得得（微信号：ChainDD）11月27日讯，供应链攻击是一种高级且非常隐蔽的攻击模式，通常通过在软件的依赖库中嵌入恶意代码实现，近日降维安全实验室（johnwick.io）观察到有黑客获取了热门JavaScript库Event-Stream的控制权，并注入了恶意代码来窃取Copay钱包内的比特币等数字货币。

该恶意代码默认休眠状态，当BitPay的Copay钱包启动后，就会自动激活。它将会窃取用户钱包内的私钥并发送至copayapi.host:8080。

该恶意代码9月至11月期间感染了所有版本的Copay钱包。降维安全建议使用Copay钱包的用户升级到最新版Copay v5.2.2, 使用Event-Stream库的开发者请更新到v4.0.1。