Приложение для обмена сообщениями Pidgin недавно предприняло значительные меры для защиты своих пользователей, удалив плагин ScreenShareOTR из официального списка сторонних плагинов. Это решение было принято после появления тревожных сообщений о злоупотреблении плагином, которое включало установку кейлоггеров, программ для кражи информации и различных форм вредоносного ПО, обычно используемых для проникновения в корпоративные сети.
Подозрительный плагин Pidgin
Pidgin, известный своими возможностями кроссплатформенного обмена сообщениями с открытым исходным кодом, долгое время был фаворитом среди пользователей, стремящихся интегрировать несколько аккаунтов обмена сообщениями в единый интерфейс. Хотя его популярность снизилась с середины 2000-х годов, он продолжает привлекать преданных поклонников среди технически подкованных людей, сторонников открытого исходного кода и тех, кому необходимо подключаться к устаревшим системам обмена сообщениями.
Приложение поддерживает систему плагинов, которая расширяет его функциональность, позволяя пользователям загружать различные дополнения из официального списка сторонних плагинов, который в настоящее время насчитывает 211 опций. Однако тревожное развитие событий произошло, когда 6 июля 2024 года в этот список был добавлен вредоносный плагин под названием 'ss-otr'. Лишь 16 августа Pidgin получил сообщение от пользователя о том, что плагин функционирует как кейлоггер и захватывает скриншоты. В ответ на это Pidgin оперативно удалил плагин и начал расследование. К 22 августа исследователь безопасности Джонни Крисмас подтвердил наличие кейлоггера.
Особую озабоченность вызывает отсутствие прозрачности вокруг плагина ss-otr; он предлагал только бинарные файлы для загрузки без какого-либо сопутствующего исходного кода. Это отсутствие надежных механизмов проверки в репозитории сторонних плагинов Pidgin привело к пробелу в безопасности.
Плагин приводит к вредоносному ПО DarkGate
Согласно данным ESET, фирмы по кибербезопасности, которая обнаружила вредоносную природу плагина, установочный файл был подписан действительным цифровым сертификатом от INTERREX – SP. Z O.O., легитимной польской компании. Хотя изначально плагин казался предоставляющим обещанную функцию совместного использования экрана, он также содержал вредоносный код, способный загружать дополнительные бинарные файлы с сервера злоумышленника на jabberplugins[.]net.
Загружаемые через этот механизм полезные нагрузки включали скрипты PowerShell и печально известное вредоносное ПО DarkGate, которое также было подписано сертификатом Interrex. Эта вредоносная стратегия не ограничивалась версией Pidgin для Windows; аналогичный подход был использован для клиента Linux, что обеспечило компрометацию обеих платформ.
ESET также сообщила, что ныне несуществующий вредоносный сервер размещал дополнительные плагины, включая OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload, все из которых, вероятно, участвовали в распространении DarkGate. Это указывает на то, что плагин ScreenShareOTR был лишь компонентом более обширной кампании.
Пользователям, которые могли установить скомпрометированный плагин, рекомендуется немедленно удалить его и провести тщательное сканирование системы с использованием антивирусного программного обеспечения для обнаружения любых оставшихся угроз от DarkGate. В свете этих событий разработчик и главный разработчик Pidgin Гэри Крамлич сообщил через Mastodon, что организация не отслеживает количество установок плагинов.
Для снижения риска подобных инцидентов в будущем Pidgin объявил о новой политике: теперь будут приниматься только сторонние плагины, обладающие лицензией OSI Approved Open Source License. Это изменение направлено на обеспечение более строгой проверки кода и внутренней функциональности плагинов, что повысит безопасность пользователей.
Обновление 27.08.24: Обновленная история с учетом того, что Pidgin не отслеживает загрузки плагинов.
