с сервера загружалось и устанавливалось типовое вредоносное ПО DarkGate,
[ more…] http://helpsoc.ru/ apizlo2024
Pidgin
Разработчики клиента для мгновенного обмена сообщениями Pidgin, поддерживающего работу с такими сетями как Jabber/XMPP, Bonjour, Gadu-Gadu, IRC, Novell GroupWise, Lotus Sametime и Zephyr, объявили о выявлении вредоносного кода в плагине ss-otr (ScreenShareOTR), присутствующего в каталоге плагинов, развиваемых сообществом.
Плагин был размещён в каталоге 6 июля, распространялся только в бинарном виде и добавлял в Pidgin возможность предоставления совместного доступа к экрану, используя протокол OTR (Off-the-Record).
16 августа исследователи безопасности выявили вредоносную активность в ss-otr, которая выражалась в запуске кейлоггера и отправке скриншотов экрана на внешние серверы.
Проведённый компанией ESET анализ вредоносных изменений показал наличие в библиотеках pidgin-screenshare и libotr кода для загрузки и запуска скриптов и исполняемых файлов с сервера атакующих (jabberplugins.net). Для пользователей Windows с сервера загружалось и устанавливалось типовое вредоносное ПО DarkGate, поддерживающее модули для совершения широкого спектра вредоносных действий, среди которых майнинг, запись клавиатурной активности, организация удалённого доступа, кража персональных данных, ключей и паролей из популярных приложений. В сборках для Linux также присутствовала функциональность для загрузки и запуска стороннего кода (что именно загружалось на системы с Linux пока не ясно).
Для снижения риска возникновения подобных инцидентов в будущем разработчики Pidgin намерены включать в каталог только плагины, код которых доступен под открытыми лицензиями, одобренными организацией OSI. Также планируется ссылаться только на сторонние плагины, для которых проведена проверка безопасности.
тэги: helpsoc, komp it: 2024.aug безопасность, plugin обмена сообщениями Pidgin, Pidgin,
tags: helpsoc, komp it: 2024.aug безопасность, plugin обмена сообщениями Pidgin, Pidgin,