Recientemente se hizo conocido un Supply Chain Attack en que el sitio de Monero Project fue vulnerado y un tercero reemplazó el binario CLI 64bits de Linux por uno que se encontraba infectado con un coinstealer.
El incidente fue notado tras los reportes de varios usuarios que descargaban Monero y pudieron notar que el hash publicado y el del archivo que habían descargado eran diferentes.
Según reportó el equipo de Monero, su sitio GetMonero.com había sido vulnerado y habrían sido afectados todos los usuarios que descargaron el archivo durante el día Lunes 18 de Noviembre.
Un análisis del archivo permitió conocer que incorpora una función que busca obtener el seed y enviarlo a servidores de Command & Control, con el cual los atacantes podrían robar fondos de los wallets.
El investigador de amenazas de PwC Bart Parys que analizó en detalle el archivo pudo también obtener una muestra de Windows del servidor de Command & Control y valido que el comportamiento de la misma era el mismo que el de Linux, sólo que la función maliciosa se encontraba bajo otro nombre.
Indicadores de compromiso
Servidores de Command & Control
45[.]9[.]148[.]65
91[.]210[.]104[.]245
hashmonero[.]com
node[.]xmrsupport[.]co
node[.]hashmonero[.]com
Binarios
ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31 | Linux
963c1dfc86ff0e40cee176986ef9f2ce24fda53936c16f226c7387e1a3d67f74 | Windows