Несколько дней вместо установщика майнера пользователи скачивали подделку, способную красть пароли и ключи к кошелькам.
Злоумышленники взломали аккаунт разработчиков криптовалюты Syscoin и заменили официальный клиент для майнинга на зараженную трояном версию. Как следует из пресс-релиза компании на GitHub, в результате атаки могли быть похищены конфиденциальные данные и скомпрометированы кошельки участников проекта.
По информации Syscoin, инцидент произошел 9 июня. Воспользовавшись учетными данными одного из разработчиков криптовалюты, неизвестный злоумышленник авторизовался в официальном аккаунте проекта на GitHub и подменил установочный файл майнера версии 3.0.4.1.
Скомпрометированный релиз содержал троян Win32/Feury.B!cl, известный также как Arkei Stealer. Программа нацелена на похищение паролей пользователей, а также данных для доступа к криптовалютным кошелькам. После установки фальшивого клиента исполняемый файл зловреда размещается в папку C:\Users\user\AppData\Local\Temp под именем re.exe.
От атаки пострадали две сборки для операционной системы Windows. Установщики для macOS и Linux не подвергались модификации. О проблеме стало известно около 6 часов вечера 13 июня, когда команда The Blockchain Foundry, занимающаяся развитием Syscoin, обнаружила неподписанный файл в своем репозитории. Расследование не заняло много времени — уже через четыре часа чистая версия клиента снова была выложена на GitHub.
Разработчики рекомендуют всем, кто скачал скомпрометированный релиз программы, немедленно проверить систему на вирусы, заменить все значимые пароли, а также перевести криптовалютные средства в новые кошельки.
Для предотвращения подобных инцидентов в будущем команда Syscoin введет двухфакторную аутентификацию для своих аккаунтов и будет регулярно проверять хэш-сумму файлов в репозитории. Разработчики криптовалюты вместе с GitHub планируют создать механизм информирования пользователей об изменениях в установщике после официального релиза.
Взлом репозитория разработчика и распространение скомпрометированного варианта программы — серьезная угроза информационной безопасности. Проблема заключается в том, что подлог сложно обнаружить, поэтому зараженная копия может раздаваться несколько дней и даже недель. Не так давно установщик торрент-клиента MediaGet с внедренным злоумышленниками бэкдором был загружен на 400 тыс. компьютеров.
Масштабы распространения взломанного варианта утилиты CCleaner до сих пор окончательно не определены. По информации ИБ-экспертов, скомпрометированные файлы были доступны для скачивания с 15 августа по 12 сентября прошлого года, на тот момент число пользователей программы превышало 2 млрд человек.