HandBrake 遭入侵 Mac 用戶遭勒索 Bitcoin

開源視頻轉碼軟體 HandBrake 本月初向用戶發出警告,它的 Mac 版軟體的映像下載伺服器遭到入侵,軟體被植入後門,允許攻擊者控制受害者的電腦。

HandBrake 表示在 5 月 2 日 14:30 UTC 到 5 月 6 日 11:00 UTC 之間下載 Mac 版 HandBrake 的用戶在運行程式前需要檢查一下文件的 HA1 / 256 哈希值,已經安裝的用戶需要檢查下 OSX 活動監視程式中是否有 Activity_agent 的進程,如果有那麼用戶的電腦已經感染了惡意程式,用戶可以手動使用命令刪除惡意程式。

要留意的哈希值:

HA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

刪除命令如下:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist [ENTER]
rm -rf ~/Library/RenderFiles/activity_agent.app [ENTER]
如果 / Library / VideoFrameworks / 包含 proton.zip,請刪除該文件夾

最後用戶應該刪除任何 Handbrake.app 的安裝。

當中一位不幸受害者是開發 Mac 和 iOS 軟體的 Panic 公司(是開發遊戲《Firewatch》公司)聯合創始人 Steven Frank。他恰好在 HandBrake 遭到入侵期間手動更新了軟體,忽視了要求管理權限的警告,安裝和運行了含有後門版本的 HandBrake,他的電腦立即被攻擊者控制。攻擊者竊取了他的 git 憑證,複製了多個源碼庫。

攻擊者隨後還發送電子郵件,向 Steven 勒索大量 Bitcoin 以避免其開放源碼遭到洩漏。Steven 和同事商量之後決定拒絕支付贖金。他們認為,攻擊者可以利用開放源碼構建破解版應用,但該公司的應用早就有破解版存在;攻擊者可以構建惡意版的應用,這是不可避免的,而競爭對手則可以利用開放源碼獲得一些競爭優勢,但開放源碼可能含有惡意程式,未必對他們有利。Steven 稱,他們沒有發現用戶訊息洩漏的跡象,對可能含有惡意程式的破解版本發出警告,並表示正與 Apple 緊密合作。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *