Pidgini sõnumsiderakendus eemaldas pistikprogrammi ScreenShareOTR oma ametlikust kolmanda osapoole pistikprogrammide loendist pärast seda, kui avastati, et seda kasutati klahvilogijate, teabevaraste ja pahavara installimiseks, mida tavaliselt kasutatakse ettevõtte võrkudele esmase juurdepääsu saamiseks.
Pistikprogrammi reklaamiti turvalise Off-The-Record (OTR) protokolli ekraani jagamise tööriistana ja see oli saadaval nii Pidgini Windowsi kui ka Linuxi versioonide jaoks.
ESET-i andmetel oli pahatahtlik pistikprogramm konfigureeritud nakatama pahaaimamatuid kasutajaid DarkGate’i pahavaraga, võimsa pahavaraohuga, mida kasutavad võrkude murdmiseks pärast seda, kui võimud QBoti lammutasid.
Alatu Pidgini pistikprogramm
Pidgin on avatud lähtekoodiga platvormideülene kiirsuhtlusklient, mis toetab mitut võrku ja sõnumsideprotokolle.
Kuigi see ei olnud nii populaarne kui 2000. aastate keskel, kui mitme protokolliga klientide järele oli suur nõudlus, on see endiselt populaarne valik nende seas, kes soovivad koondada oma sõnumsidekontod üheks rakenduseks, ja sellel on spetsiaalne kasutajabaas, mis koosneb tehnikatundlikest inimestest. -allika entusiastid ja kasutajad, kellel on vaja ühenduda IM-süsteemidega.
Pidgin kasutab pistikprogrammide süsteemi, mis võimaldab kasutajatel laiendada programmi funktsionaalsust, lubada nišifunktsioone ja avada uusi kohandamisvalikuid.
Kasutajad saavad need alla laadida projekti ametlikust kolmanda osapoole pistikprogrammide loendist, kus praegu on 211 lisandmoodulit.
Eelmisel nädalal projekti veebisaidil avaldatud teadaande kohaselt libises 6. juulil 2024 loendisse pahatahtlik pistikprogramm nimega ss-otr ja see eemaldati alles 16. augustil pärast kasutaja aruannet selle kohta, et see on klahvilogija ja ekraanipiltide jäädvustamine. tööriist.
Tõmbasime pistikprogrammi vaikselt kohe nimekirjast välja ja hakkasime asja uurima. 22. augustil suutis Johnny Xmas kinnitada, et kohal on klahvilogija.” – Pidgin
Punane lipp on see, et ss-otr pakkus allalaadimiseks ainult binaarfaile, mitte lähtekoodi, kuid kuna Pidgini kolmanda osapoole pistikprogrammide hoidlas puuduvad tugevad ülevaatusmehhanismid, ei seadnud keegi selle turvalisust kahtluse alla.
Plugin viib DarkGate’i pahavarani
ESET teatab, et pistikprogrammi installija on allkirjastatud kehtiva digisertifikaadiga, kellele on välja antud INTERREX – SP. Z OOseaduslik Poola ettevõte.
Allikas: ESET
Pistikprogramm pakub reklaamitud ekraani jagamise funktsiooni, kuid sisaldab ka pahatahtlikku koodi, võimaldades tal alla laadida täiendavaid binaarfaile ründaja serverist aadressil jabberplugins(.)net.
Allalaaditud kasulikud koormused on kas PowerShelli skriptid või DarkGate’i pahavara, mis on samuti allkirjastatud Interrexi sertifikaadiga.
Sarnast mehhanismi rakendatakse ka Pidgini kliendi Linuxi versiooni jaoks, seega on kaetud mõlemad platvormid.
ESET ütleb, et sama pahatahtlik server, mis on nüüd maha võetud, hostis täiendavaid pistikprogramme nimedega OMEMO, Pidgin Paranoia, Master Password, Window Merge ja HTTP File Upload.
Need pistikprogrammid pakkusid peaaegu kindlasti ka DarkGate’i, mis näitab, et ScreenShareOTR oli vaid üks väike osa laiemast kampaaniast.
Allikas: ESET
Neil, kes selle installisid, soovitatakse see kohe eemaldada ja teha viirusetõrjevahendiga täielik süsteemi kontroll, kuna DarkGate võib nende süsteemi varitseda.
Pärast meie loo avaldamist teatas Pidgini hooldaja ja juhtivarendaja Gary Kramlich meile Mastodonis, et nad ei jälgi, mitu korda pistikprogramm installitakse.
Sarnaste juhtumite edaspidise juhtumise vältimiseks teatas Pidgin, et edaspidi aktsepteerib ta ainult kolmanda osapoole pistikprogramme, millel on OSI heakskiidetud avatud lähtekoodiga litsents, mis võimaldab kontrollida nende koodi ja sisemisi funktsioone.
Värskendus 27.08.24: värskendatud lugu, et märkida, et Pidgin ei jälgi pistikprogrammide allalaadimisi.
