Meghekkelték a Handbrake, az egyik legnépszerűbb ingyenes mac-es videókonverter másodlagos szerverét, közölték a nyílt forráskódú szoftver fejlesztői, és egyben figyelmeztettek arra, hogy akik május 2. és 6. között töltötték le a terméküket, ötven százalék eséllyel fertőzték meg gépüket egy rosszindulatú programmal.
A fejlesztők közleménye szerint azok, akik a megadott időintervallumban [02/May/2017 14:30 UTC] és [06/May/2017 11:00 UTC] között töltötték le a programot a feltört tükörszerverről, jobban teszik, ha ellenőrzik, milyen folyamatok futnak épp a gépükön. Ha az OSX Activity Monitor listáján szerepel egy "Activity_agent" néven futó processz, akkor baj van.
A szombaton kiadott közlemény szerint a behatoló lecserélte a download.handbrake.fr című szerveren tárolt telepítő file-t (HandBrake-1.0.7.dmg) egy olyanra, ami az OSX.PROTON trójai programot is tartalmazta. Telepítés után a rosszindulatú szoftver root-szintű hozzáférést biztosít a hekkereknek bármely fertőzött géphez.
Amennyiben a telepítés ellenőrzésekor a következő checksum értékeket kapja a felhasználó, szintén fertőzött a gépe:
A következőképp lehet eltávolítani a trójait:
A “Terminal” app megnyitása utána következő parancssort kell futtatni:
Ezután el kell távolítani magát a “HandBrake.app” programot is. A biztonság kedvéért érdemes minden OSX KeyChain-ben, vagy böngészőben tárolt jelszavat megváltoztatni. És, hát, sose lehet tudni alapon, jobb, ha így tesz minden Handbrake felhasználó.
Azok, akik a szoftver beépített telepítőjével frissítették esetleg a megadott időközben a programot, akkor fertőződhettek meg, ha a 0.10.5-ös, vagy ennél korábbi verzióról frissítettek.
A fertőzött szervert természetesen már lekapcsolták, a közlemény szerint a fő szerverüket és honlapjukat nem érte támadás, onnan továbbra is biztonságosan letölthető a szoftver.