Официальный сайт криптовалюты Monero, GetMonero[.]com, предоставляющий бинарники для Linux и Windows был скомпрометирован и распространял малварь, ворующую средства пользователей.
Инцидент произошел 18 ноября 2019 года. Первыми нечто странное обнаружили пользователи, о чем и поспешили сообщить на GitHub. Дело в том, что хеш (SHA256) 64-разрядного бинарника для Linux не соответствовал хешу, указанному на официальном сайте, а это значило, что файл был изменен. Вскоре после этого сообщения разработчики Monero подтвердили факт компрометации в официальном Twitter.
«Всем, кто загрузил CLI-кошелек с сайта 18 ноября, с 2:30 UTC и 16:30 UTC, настоятельно рекомендуется проверить хэши двоичных файлов. Если они не совпадают с официальными, удалите файлы и загрузите их снова. Ни в коем случае не запускайте скомпрометированные двоичные файлы», — предупреждают разработчики.
Как минимум один пользователь уже сообщил на Reddit о потере средств в результате данной атаки, тем самым подтверждая, что малварь была нацелена на кражу средств. «Примерно через девять часов после того, как я запустил бинарник, одна транзакция опустошила мой кошелек и вывела все 7000 долларов», — пишет пострадавший.
Анализ Linux малвари показывает, что после того, как пользователь открыл или создал новый кошелек, его seed передавался на сервер node.hashmonero[.]com. Затем малварь отправляла средства с кошелька на серверы node.xmrsupport[.]com и 45.9.148 [.]65. Вредоносный CLI-кошелек для Windows действовал практически так же.
Пока о самой атаке известно мало, но разработчики Monero уже заняты расследованием случившегося. Как именно был скомпрометирован сервер загрузок неясно, но сообщается, что в настоящее время опасаться уже нечего, так как все файлы теперь раздаются из резервного источника.