Узнав о вредоносной библиотеке в обновлении криптовалютного кошелька Agama, разработчики перевели средства своих клиентов в безопасное место.
Для безопасности сбережений клиентов разработчик Agama компания Komodo сама взломала их кошельки и перевела хранящуюся в них криптовалюту (8 млн KMD и 96 биткойнов) на собственный кошелёк.
Komodo недавно узнала о том, что используемая в Agama сторонняя JavaScript-библиотека является вредоносной. Два месяца назад библиотека electron-native-notify получила обновление, содержащее в своем коде скрытый бэкдор, предназначенный для похищения ключей шифрования и других парольных фраз. Под угрозой оказались все пользователи приложения Agama для Android- и iOS-устройств, загруженного с официального сайта Komodo после 13 апреля 2019 года.
Эту библиотеку обнаружила команда безопасности сервиса npm. «Атака была осуществленная с помощью набирающего популярность способа. Злоумышленники опубликовали в репозитории npm полезную библиотеку (electron-native-notify), дождались, когда ею воспользуется жертва, а затем обновили, добавив вредоносную нагрузку», – сообщают в npm.
После этого специалисты Komodo решили перевести хранящиеся в скомпрометированных кошельках средства в безопасное место, пока до них не добрались хакеры. Законные владельцы криптовалюты могут востребовать её обратно.
Komodo смогла обезопасить не все скомпрометированные кошельки, поэтому затронутым пользователям настоятельно рекомендуется перевести свои деньги на другие адреса. Версия кошелька Verus скомпрометирована не была и является безопасной.