В плагине ss-otr к Pidgin выявлен вредоносный код

Разработчики клиента для мгновенного обмена сообщениями Pidgin, поддерживающего работу с такими сетями как Jabber/XMPP, Bonjour, Gadu-Gadu, IRC, Novell GroupWise, Lotus Sametime и Zephyr, объявили о выявлении вредоносного кода в плагине ss-otr (ScreenShareOTR), присутствующего в каталоге плагинов, развиваемых сообществом. Плагин был размещён в каталоге 6 июля, распространялся только в бинарном виде и добавлял в Pidgin возможность предоставления совместного доступа к экрану, используя протокол OTR (Off-the-Record). 16 августа исследователи безопасности выявили вредоносную активность в ss-otr, которая выражалась в запуске кейлоггера и отправке скриншотов экрана на внешние серверы.

Проведённый компанией ESET анализ вредоносных изменений показал наличие в библиотеках pidgin-screenshare и libotr кода для загрузки и запуска скриптов и исполняемых файлов с сервера атакующих (jabberplugins.net). Для пользователей Windows с сервера загружалось и устанавливалось типовое вредоносное ПО DarkGate, поддерживающее модули для совершения широкого спектра вредоносных действий, среди которых майнинг, запись клавиатурной активности, организация удалённого доступа, кража персональных данных, ключей и паролей из популярных приложений. В сборках для Linux также присутствовала функциональность для загрузки и запуска стороннего кода (что именно загружалось на системы с Linux пока не ясно).

Для снижения риска возникновения подобных инцидентов в будущем разработчики Pidgin намерены включать в каталог только плагины, код которых доступен под открытыми лицензиями, одобренными организацией OSI. Также планируется ссылаться только на сторонние плагины, для которых проведена проверка безопасности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61773