HandBrake 遭入侵 Mac 用戶遭勒索 Bitcoin

開源視頻轉碼軟體 HandBrake 本月初向用戶發出警告，它的 Mac 版軟體的映像下載伺服器遭到入侵，軟體被植入後門，允許攻擊者控制受害者的電腦。

HandBrake 表示在 5 月 2 日 14:30 UTC 到 5 月 6 日 11:00 UTC 之間下載 Mac 版 HandBrake 的用戶在運行程式前需要檢查一下文件的 HA1 / 256 哈希值，已經安裝的用戶需要檢查下 OSX 活動監視程式中是否有 Activity_agent 的進程，如果有那麼用戶的電腦已經感染了惡意程式，用戶可以手動使用命令刪除惡意程式。

要留意的哈希值：

刪除命令如下：
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist [ENTER]
rm -rf ~/Library/RenderFiles/activity_agent.app [ENTER]
如果 / Library / VideoFrameworks / 包含 proton.zip，請刪除該文件夾

最後用戶應該刪除任何 Handbrake.app 的安裝。

當中一位不幸受害者是開發 Mac 和 iOS 軟體的 Panic 公司（是開發遊戲《Firewatch》公司）聯合創始人 Steven Frank。他恰好在 HandBrake 遭到入侵期間手動更新了軟體，忽視了要求管理權限的警告，安裝和運行了含有後門版本的 HandBrake，他的電腦立即被攻擊者控制。攻擊者竊取了他的 git 憑證，複製了多個源碼庫。

攻擊者隨後還發送電子郵件，向 Steven 勒索大量 Bitcoin 以避免其開放源碼遭到洩漏。Steven 和同事商量之後決定拒絕支付贖金。他們認為，攻擊者可以利用開放源碼構建破解版應用，但該公司的應用早就有破解版存在；攻擊者可以構建惡意版的應用，這是不可避免的，而競爭對手則可以利用開放源碼獲得一些競爭優勢，但開放源碼可能含有惡意程式，未必對他們有利。Steven 稱，他們沒有發現用戶訊息洩漏的跡象，對可能含有惡意程式的破解版本發出警告，並表示正與 Apple 緊密合作。