Pidginメッセージングアプリは、ScreenShareOTRプラグインがキーロガー、情報窃盗、企業ネットワークへの初期アクセスによく使われるマルウェアをインストールするために使用されていることが発見されたため、公式サードパーティプラグインリストから削除した。
このプラグインは、安全なOff-The-Record(OTR)プロトコル用の画面共有ツールとして宣伝されており、Windows版とLinux版の両方のPidginで利用可能でした。
ESETによると、この悪質なプラグインは、疑うことを知らないユーザーをDarkGateマルウェアに感染させるよう設定されており、QBotが当局によって解体されて以来、ネットワーク侵入に利用されている強力なマルウェアです。
卑劣なPidginプラグイン
Pidginは、複数のネットワークとメッセージング・プロトコルをサポートするオープンソースのクロスプラットフォーム・インスタント・メッセージ・クライアントです。
マルチプロトコルクライアントの需要が高かった2000年代半ばほどの人気はないものの、メッセージングアカウントを1つのアプリに統合しようとする人たちの間では依然として人気のある選択肢であり、技術に詳しい個人やオープンソース愛好家、レガシーIMシステムに接続する必要のあるユーザーなどの熱心なユーザーベースを持っている。
Pidginは、ユーザーがプログラムの機能を拡張したり、ニッチな機能を有効にしたり、新しいカスタマイズオプションを解除したりできるプラグインシステムを運用している。
ユーザーは、現在211のアドオンをホストしているプロジェクトの公式サードパーティプラグインリストからダウンロードできる。
先週のプロジェクトのウェブサイトでの発表によると、「ss-otr」という名前の悪質なプラグインが2024年7月6日にリストに紛れ込んでおり、キーロガーとスクリーンショットキャプチャツールであるというユーザーからの報告を受けて8月16日に削除された。
私たちは直ちにこのプラグインをリストから削除し、調査を開始しました。8月22日、Johnny Xmasはキーロガーが存在することを確認することができました。”- ピジン
赤信号は、ss-otrがダウンロード用にバイナリを提供しただけで、ソースコードを提供していなかったことだ。しかし、Pidginのサードパーティ・プラグイン・リポジトリには強固なレビュー・メカニズムがないため、誰もその安全性を疑わなかった。
プラグインがDarkGateマルウェアにつながる
ESETの報告によると、プラグインのインストーラーは、INTERREX – SP.Z.O.に発行された有効なデジタル証明書で署名されています。Z O.O.社(ポーランドの正規企業)が発行した有効なデジタル証明書で署名されています。
このプラグインは、画面共有という宣伝された機能を提供しますが、悪意のあるコードも含んでおり、jabberplugins[.]netにある攻撃者のサーバーから追加のバイナリをダウンロードすることができます。
ダウンロードされるペイロードは、PowerShellスクリプトまたはDarkGateマルウェアで、Interrex証明書によって署名されています。
同様のメカニズムがLinux版のPidginクライアントにも実装されているため、両プラットフォームが対象となります。
ESETによると、現在削除されている同じ悪意のあるサーバーでは、OMEMO、Pidgin Paranoia、Master Password、Window Merge、HTTP File Uploadという名前のプラグインがホストされていました。
これらのプラグインもほぼ間違いなくDarkGateを配信しており、ScreenShareOTRがより広範な規模のキャンペーンのほんの一部に過ぎなかったことを示しています。
ScreenShareOTRをインストールした人は、DarkGateがシステムに潜んでいる可能性があるため、直ちにScreenShareOTRを削除し、ウイルス対策ツールでシステムの完全スキャンを実行することをお勧めします。
この記事を掲載した後、Pidginのメンテナでありリード開発者であるGary Kramlich氏からMastodonに連絡があり、プラグインが何回インストールされたかは記録していないとのことだった。
今後同様の事件が起こらないよう、Pidginは今後、OSI認可のオープンソースライセンスを持つサードパーティ製プラグインのみを受け入れ、そのコードと内部機能の精査を許可すると発表した。
更新 8/27/24: Pidginはプラグインのダウンロード数を記録していないことを追記し、記事を更新しました。
Comments