Используемый в Copay Wallets и BitPay модуль Node.js был скомпрометирован. Как сообщает разработчик, злоумышленник обновил модуль, активировал в нём вредоносный код, а через некоторое время уязвимость была устранена во избежание её быстрого обнаружения.

Однако пользователи, скачавшие заражённую версию программного обсечения, могут серьёзно пострадать от действий злоумышленника: вредоносный код извлекает приватные ключи из приложений, в которых задействованы модули copay-dash и event-stream.

В блоге BitPay утверждается следующее: вредоносный модуль Node.js был внедрён в версиях Copay с 5.0.2 по 5.1.0, при этом самому приложению BitPay ничего не угрожает. С целью предотвращения перехвата приватных ключей разработчики рекомендуют не запускать данные версии Copay.

Statement on NPM Package Vulnerability in v5.0.2-5.1.0 of Copay Wallets | The BitPay Blog
https://t.co/rrRPnJnq0M

— BitPay (@BitPay) 26 ноября 2018 г.

В настоящее время уязвимость устранена, а в магазинах приложений доступна обновлённая версия биткоин-кошелька 5.2.0. Пользователям следует немедленно переместить средства на новые кошельки. Не стоит пытаться осуществлять данную процедуру через импортирование фразы восстановления: в первую очередь необходимо обновить уязвимые кошельки (5.0.2-5.1.0). Затем, использую функцию Send Max (перевод всех средств) перевести все свои средства на новый биткоин-кошелек версии 5.2.0.