Пользователю right9ctrl с GitHub удалось добавить вредоносный код в библиотеку event-stream, входящую в состав модуля Node.js. Последний используется во многих веб-приложениях. В частности, в кошелке Copay – продукте BitPay.
Вредоносный код извлекает приватные ключи из приложений, в который есть модули event-stream и copay-dash.
В BitPay порекомендовали пользователям переместить свои средства на кошелек версии 5.2.0, так как приватные ключи могли быть скомпрометированы. Факт наличия уязвимости в компании признали.
Источник: ccn.com