Через официальный каталог приложений Ubuntu Snap некоторое время распространялся фейковый криптокошелёк, средства с которых сразу переводились на сторонний адрес. У одного из пользователей удалось увести 9,84 BTC.
Это типичная supply chain attack, один из самых опасных видов атак. Он предполагает внедрение зловредов в официальные каналы поставки ПО. Например, в прошивки от производителя оборудования, официальные обновления программ, которые распространяются через официальные сайты, и т д.
Фальшивый криптокошелёк Exodus в официальном каталоге Snap компании Canonical был опубликован 6 февраля 2024 года (скриншот) и продержался там шесть дней.
12 февраля один из пользователей на форуме Snapchat рассказал о странном баге: после восстановления доступа к кошельку тот оказался пустым, а из истории кошелька следовало, что все средства перечислены на посторонний адрес.
Изучение софта в виртуальной машине с Wireshark показало, что пропажа средств из кошелька — не баг, а фича. Само приложение было мошеннической подделкой под оригинальный кошелёк Exodus.
От оригинального кошелька он отличался необычно малым размером бинарника, Фальшивая программа была создана с помощью фреймворка Flutter в отличие от оригинала на Electron.
При первом запуске приложение сразу спрашивало сид-фразу для восстановления доступа к онлайн-кошельку, после чего тот сразу опустошался.
В результате программа была удалена из каталога Snap.
Основатель Canonical и руководитель разработки Ubuntu Марк Шаттлворт признал, что вредоносных приложений с трюками социальной инженерии становится больше. Он сказал, что «мы живём во всё более опасном мире» и пообещал принять дополнительные меры безопасности для каталога программ Ubuntu, хотя компания тут мало чем может помочь.
Приём приложений в каталог автоматизирован, а опубликовать своё приложение довольно легко. Это уже не первый фальшивый криптокошелёк или майнер, опубликованный в каталоге Ubuntu за последние несколько лет. А некоторые из зловредов до сих пор работают на компьютерах пользователей. Для Ubuntu есть однострочник, который позволяет удалить сразу весь «криптомусор» из системы:
for s in 2048buntu hextris freecraft bip-web bitwallet btcwal btcwallet coinbase cryptowal electrum-wallet2 exodus exoduswal exoduswalet exodwallet guarda komodo ledger-live-wallet ledger1 ledgerlive liveledger metamask new-electrum-wallet sparrow sparrow-wallet sparrowwalet sparrowwallet trezor-wallet trezorwallet trustwallet; do sudo snap remove --purge $s; done
Выводы
Защита цифровых активов и персональной информации требует определённых усилий и применения различных технологий, в том числе надёжной системы шифрования и разделения секрета. Во многом это личная ответственность самого гражданина. Государство, полиция и суд — все они умеют работать с цифровыми активами, но человек в первую очередь персонально отвечает за защиту собственного имущества.
Поэтому важно следить за ситуацией, быть в курсе существующих угроз и ничего не принимать на веру. Например, скачивать бинарное приложение даже с официального сайта или каталога — уже определённый риск, потому что мы не видим исходного кода и не знаем, что внутри этого приложения. В этом смысле самостоятельная компиляция из исходников гораздо безопаснее.
Разработчики находятся в преимущественном приложении по сравнению с обычными пользователями, потому что могут не только скомпилировать программу из исходного кода (это доступно каждому), но и проверить код перед компиляцией. Более того, они могут самостоятельно написать приложение с нужным функционалом для себя и своих близких. Например, тот же биткоин-кошелёк написать относительно просто, поскольку системные API открыты и хорошо документированы. То же самое можно сказать о приложениях для видеосвязи и многих других, которые можно написать для себя буквально за несколько дней, если чужие приложения не вызывают доверия или там нет нужных функций (либо наоборот, много лишнего).
По итогам истории с Exodus можно сделать вывод, что опасность скачивания бинарных приложений даже из официальных каталогов никуда не исчезла. Вредоносный код распространяется с пакетами PyPi и через каталог App Store. Можно предположить, что мошенники продолжат придумывать новые способы, как внедрять вредоносный код в официальные каналы поставки ПО.
Комментарии (10)
0mogol0
21.04.2024 18:54+1Например, скачивать бинарное приложение даже с официального сайта или каталога — уже определённый риск, потому что мы не видим исходного кода и не знаем, что внутри этого приложения. В этом смысле самостоятельная компиляция из исходников гораздо безопаснее.
Угу... если ты сумел проанализировать этот код - то да. Но тогда ещё лучше самому написать приложение.
А если ты код читать не умеешь, то что скомпилированное приложение с сайта производителя, что самостоятельная компиляция - разницы немного. Хотя в теории наверное компиляция даже опаснее, так как не факт, что и компилятор "чист", и библиотеки скачаны из доверенных источников...
c0r3dump
21.04.2024 18:54Компиляция даже опаснее, тк в репе официальной все же больше пользователей, майнтейнеры ещё есть какие-то, которые по идее хоть зачем-то следят. Есть больше шансов, что кто-то заметит проблему и она попадёт в новости, как с xz недавно.
VADemon
21.04.2024 18:54В истории с xz звезды, судя по словам нашедшего, так сошлись, что я бы его ознаменовал как победителя в лотерее.
С одной стороны ему повезло делать то, что он делал. Во-вторых, достаточно знаний это отдебажить. В-третьих, достаточно красноглазости подметить задержку старта ssh на полсекунды. В принципе из-за долгого старта этот кривоватый (но хитрый) бэкдор могли бы раскусить к концу года.
alysnix
21.04.2024 18:54вор у вора дубинку украл. вряд ли добрые люди хранят средства в крипте.
dartraiden
21.04.2024 18:54+14Я чуть было не вложился в крипту, когда биток стоил 1000 долларов. Через год он стоил 15 тысяч... При этом, деньги были 100% легальные.
Не совсем понимаю, почему я вдруг стал бы "плохим", если бы таки не зассал тогда.
alysnix
21.04.2024 18:54так вы и есть - добрый человек. если б у вас было бабла, как сена, то вы б вложились в крипту.
VADemon
21.04.2024 18:54Уже стоит настаивать на том, чтобы отмежевать Bitcoin от остальной "крипты" и её спекулятивно-обманнической поросли.
Есть Bitcoin, и от силы с пяток монет, которые предлагают нужные технические решения/варианты развития. Все остальные просят вас вложиться в их проект, ложно описывая его "децентрализованной валютой" и отдачей, которая вдруг откуда-то возьмется.
achekalin
Интересно, а вот эти Nashstore и Rustore, да и прочие "магазины" приложений - они ведь тоже "не обязаны" следить за качеством софта?
Так то я и от PlayMarket особой проверки не жду, признаться.
c0r3dump
Обычно все стараются усиленно делать вид, что следят за нашей безопасность, но в условиях использования стараются напомнить, что ни за что не отвечают. Хотя, вот в есть же статья - распространение вредоносного по, интересно Rusrore в таком случае удалось бы привлечь?