Разработчики кошелька Agama взломали своих пользователей, пока этого не сделали хакеры

Узнав о вредоносном обновлении использующейся в Agama библиотеки, разработчики перевели средства своих клиентов в безопасное место.

Для обеспечения безопасности сбережений своих клиентов разработчик криптовалютного кошелька Agama компания Komodo прибегла к весьма необычному способу. С целью защитить пользователей от хакеров Komodo сама взломала их кошельки и перевела хранящуюся в них криптовалюту (8 млн KMD и 96 биткойнов) на собственный кошелек. Компания недавно узнала о том, что используемая в Agama сторонняя JavaScript-библиотека является вредоносной. Два месяца назад библиотека под названием electron-native-notify получила обновление, содержащее в своем коде скрытый бэкдор, предназначенный для похищения ключей шифрования и других парольных фраз. Под угрозой оказались все пользователи приложения Agama для Android- и iOS-устройств, загруженного с официального сайта Komodo после 13 апреля 2019 года.

Вредоносную библиотеку обнаружила команда безопасности сервиса npm. «Атака была осуществленная с помощью набирающего популярность способа. Злоумышленники опубликовали в репозитории npm полезную библиотеку (electron-native-notify), дождались, когда ею воспользуется жертва, а затем обновили, добавив вредоносную нагрузку», — сообщается в блоге npm.

Узнав о проблеме, специалисты Komodo решили похитить пароли владельцев скомпрометированных кошельков и перевести хранящиеся в них средства в безопасное место, пока до них не добрались хакеры. Криптовалюта была переведена на адреса RSgD2cmm3niFRu2kwwtrEHoHMywJdkbkeF (KMD) и 1GsdquSqABxP2i7ghUjAXdtdujHjVYLgqk (BTC), и ее законные владельцы могут востребовать ее обратно.

Komodo смогла обезопасить не все скомпрометированные кошельки, поэтому затронутым пользователям настоятельно рекомендуется перевести свои деньги на другие адреса. Версия кошелька Verus скомпрометирована не была и является безопасной.