Um binário Linux malicioso foi servido aos usuários do Monero.
O site oficial de Monero parece ter sido invadido esta semana. Hackers conseguiram enviar uma versão comprometida da carteira da Command Line Interface da Monero que enviou chaves privadas para um servidor externo.
Na segunda-feira, a comunidade alertou os desenvolvedores no GitHub que o hash do lançamento oficial era incompatível com o disponível para download no site. Os hashes são usados como impressão digital de software para identificar exatamente esses tipos de manipulação – mesmo um byte alterado alteraria completamente a sequência de hash resultante.
O problema durou cerca de 14 horas na segunda-feira, após o que os desenvolvedores do Monero alteraram a fonte dos binários da carteira.
Uma análise de um pesquisador de segurança mostra que a carteira modificada continha uma linha maliciosa que vazava as chaves privadas de qualquer carteira nova ou existente adicionada ao software. Os dados foram enviados para um servidor no xmrsupport.co, o que parece ser um domínio criado especificamente para esse ataque. Isso pode ter sido uma medida preventiva para não acionar firewalls do sistema, pois as solicitações para endereços IP brutos podem ser registradas como suspeitas e bloqueadas.
O hack parece ter sido pelo menos parcialmente bem-sucedido, com um usuário do Reddit alegando ter perdido US$ 7.000 como consequência do ataque.
No entanto, é improvável que a violação tenha afetado grandes porções da comunidade Monero. Embora um binário comprometido do Windows pareça ter sido criado, o malware foi veiculado apenas para usuários do Linux. Esse problema parece estar afetando apenas a carteira da linha de comando, que é naturalmente menos usada que a versão da interface gráfica.
Traduzido e adaptado de: cryptobriefing.com