JDownloader zagrożony: złośliwe oprogramowanie przedostało się do instalatorów systemów Windows i Linux na jeden dzień

24 godziny paniki: oficjalna strona internetowa JDownloader podawane instalatorzy uwięziony dla Okna I LinuksaOpowiem wam o ataku, o pytonie RAT, który czai się w środku, i co najważniejsze, o tym, co musicie zrobić, zanim wasza maszyna zamieni się w zoo. Czas jest napięty: 6 maja rano, 7 maja o świcie, a potem koniec.

Bez fałszywego napięcia. Kod źródłowy menedżera pobierania open source nie został naruszony: to alternatywna strona pobierania została zastąpiona złośliwym skryptem. Szczegółowo opiszę ten manewr, wskazówki pozostawione przez atakującego i zdecydowaną reakcję AppWork.

A infiltracja precyzja chirurgiczna na pokazie JDownloader

Atak rozpoczął się 6 maja około godziny 02:00 UTC. Sieć CDN projektu nagle udostępniła poprawnie podpisany plik wykonywalny „jdownloader2_setup_latest.exe”, ale spakowany z programem ładującym Pythona. To samo stało się z plikiem tar.gz. Niecierpliwemu użytkownikowi nic nie wydawało się niepokojące, poza dodatkowymi 30 MB w liczniku pobrań: kogo to obchodzi?

Po uruchomieniu, loader wywołuje serwer hostowany na mołdawskim VPS, pobiera modułowy plik RAT, umieszcza się w %APPDATA% lub ~/.cache, a następnie nasłuchuje na porcie 61422 w trybie szyfrowanym. Zapora sieciowa całkowicie go ignoruje: ruch jest przesyłany przez HTTPS, bez problemu. Dlatego proste skanowanie antywirusowe niczego nie wykrywa; to kod wysyłany „w locie”.

Oficjalna wersja pozostaje jednak nienaruszona. To sklep został przemalowany w ciągu nocy. Zespół projektu na Reddicie twierdzi, że dostęp FTP do strony pobierania został ujawniony po kampanii wykradania danych uwierzytelniających. Nie ma tu ewidentnego exploita typu zero-day, tylko powtórzone hasło: klasyczny ludzki błąd.

Dlaczego ten atak wstrząsa całym światem bezpieczeństwo komputera

Trzecia zasadzka na łańcuch dostaw od kwietnia: CPUID, DAEMON Tools i teraz JDownloaderTen sam schemat: skromny wydawca, zmanipulowana witryna sklepowa, zachowane wewnętrzne pliki binarne. To kradzież bez wyważania tylnych drzwi. Badacze z Kaspersky’ego naliczyli już 150 zainfekowanych komputerów w przypadku samego CPU-Z; w przypadku JDownloadera nie ma osób publicznych, ale mówimy o milionach pobrań miesięcznie.

Krzywię się na myśl o efekcie domina. RAT zbiera tokeny Discorda, pliki cookie sesji, klucze SSH i co 45 minut wrzuca wszystko do prywatnego repozytorium GitLab. Wyobraź sobie katastrofę dla dostawców hostingu. I jak zwykle, objawienie pojawia się na Mastodonie, zanim nastąpi oficjalne ogłoszenie: oprogramowanie open source rozwija się szybko, komunikacja zwalnia.

Środki awaryjne dla użytkowników Okna I Linuksa

AppWork nie przebiera w słowach: „Zainstaluj ponownie cały system i zmień wszystkie hasła”. Owszem, brzmi to ekstremalnie, ale RAT działa z uprawnieniami użytkownika, uruchamia zaplanowane zadanie i szyfruje swoją konfigurację. Częściowa dezynfekcja i tak pozostawi zapomnianą furtkę, a Ty będziesz spać źle.

Zalecam wykonanie zimnej kopii zapasowej plików osobistych, czystego formatowania, a następnie weryfikację SHA-256 nowego instalatora. Przy okazji włącz Bezpieczny rozruch, jeśli wyłączyłeś go „na potrzeby testowania Arch”, i zabezpiecz klucze SSH silnym hasłem; unikniemy zawału serca następnym razem.

Okres po kryzysie: wzmacnianie cyberbezpieczeństwo otwarte źródło

Wolelibyśmy prostsze, szczęśliwe zakończenie. Jednak łańcuch zaufania nie kończy się na podpisie GPG kodu: strona internetowa, lustro i CDN są równie ważne. Utrzymujący często majstrują przy infrastrukturze w wolnym czasie: brak systematycznego uwierzytelniania dwuskładnikowego, brak dokładnego przeglądu logów – znamy procedurę.

Niektórzy już proponują przeniesienie plików binarnych do repozytorium GitHub i egzekwowanie protokołu HTTPS strict-transport-security przez dwa lata. Inni marzą o Notary v3 dla każdego wydania, w stylu Sigstore. Pochwalam to, ale chciałbym przypomnieć wszystkim, że absolutnie musimy zaprzestać ponownego używania hasła „Azerty123”. Proste, ale w końcu się tego nauczymy.

Co ta sprawa ujawnia dla społeczności Linuksa i zaawansowani użytkownicy systemu Windows

Fani pakietów .deb lub .msi uwielbiają narzekać na scentralizowane sklepy z aplikacjami, w tym ja. Jednak w tym przypadku Flatpak, Scoop, a nawet Winget uniknęłyby tej pułapki: te repozytoria weryfikują hash przed instalacją. Morał z tej historii: możesz pozostać zwolennikiem wolnego oprogramowania i korzystać z funkcjonalności rodem z App Store, o ile pozostaje ona audytowalna.

Ten atak pokazuje również siłę społecznego przekazu ustnego. Bez stałego monitorowania Hacker News i rejestru zmian, alert trwałby tydzień. Ostatecznie to połączenie pasji i paranoi uratowało sytuację. Niezbyt efektowne, ale niezwykle skuteczne!

Ostatnie przypomnienie przed zamknięciem karty

Jeśli pobrałeś JDownloader Między 6 a 7 maja nie graj w rosyjską ruletkę. Sformatuj, zresetuj, a następnie sprawdź ponownie swoje kopie zapasowe. złośliwe oprogramowanie To podstępne; nie ostrzega przed wykradzeniem twoich sekretów. Działaj już teraz i pamiętaj o tej maksymie: „Dużo kliknięć, mało kontroli, zawsze kończy się włamaniem”.

Źródło: www.clubic.com