Các nhà phát triển ứng dụng nhắn tin tức thời Pidgin, hỗ trợ các mạng như Jabber/XMPP, Bonjour, Gadu-Gadu, IRC, Novell GroupWise, Lotus Sametime và Zephyr, đã công bố việc xác định mã độc trong plugin ss-otr (ScreenShareOTR) hiện tại trong thư mục plugin do cộng đồng phát triển. Plugin được phát hành vào ngày 6 tháng 16, chỉ được phân phối ở dạng nhị phân và thêm khả năng chia sẻ màn hình trong Pidgin bằng giao thức OTR (Off-the-Record). Vào ngày XNUMX tháng XNUMX, các nhà nghiên cứu bảo mật đã xác định được hoạt động độc hại trong ss-otr, liên quan đến việc khởi chạy keylogger và gửi ảnh chụp màn hình đến các máy chủ bên ngoài.
Phân tích các thay đổi độc hại do ESET thực hiện đã phát hiện sự hiện diện của mã độc trong thư viện pidgin-screenshare và libotr dùng để tải xuống và chạy các tập lệnh và tệp thực thi. người phục vụ Kẻ tấn công (jabberplugins.net). Dành cho người dùng Windows Máy chủ đã tải xuống và cài đặt phần mềm độc hại DarkGate điển hình, hỗ trợ các mô-đun cho nhiều hoạt động độc hại, bao gồm khai thác tiền điện tử, ghi lại hoạt động bàn phím, truy cập từ xa và đánh cắp dữ liệu cá nhân, khóa và mật khẩu từ các ứng dụng phổ biến. Các bản dựng cho Linux Ngoài ra còn có chức năng tải và chạy mã của bên thứ ba (chính xác thì mã nào được tải lên hệ thống?). Linux (Hiện tại vẫn chưa rõ).
Để giảm nguy cơ xảy ra sự cố tương tự trong tương lai, các nhà phát triển Pidgin dự định chỉ đưa các plugin vào danh mục có mã sẵn có theo các giấy phép mở đã được tổ chức OSI phê duyệt. Chúng tôi cũng có kế hoạch chỉ liên kết đến các plugin của bên thứ ba đã trải qua quá trình đánh giá bảo mật.
Nguồn: opennet.ru
