Создатели мессенджера PyBitmessage выпустили экстренный патч, чтобы закрыть обнаруженную уязвимость нулевого дня. Ошибка в коде позволяла злоумышленникам удаленно запускать выполнение команд и красть средства из криптокошельков Electrum.

PyBitmessage — официальный клиент для Windows, macOS и Linux для связи через защищенный протокол Bitmessage. Он позволяет обмениваться зашифрованными сообщениями в частной переписке и групповых чатах. В середине февраля разработчики обнаружили, что злоумышленники смогли с помощью специальной команды запустить через мессенджер автоматизированный скрипт и получить доступ к пользовательским файлам. Как сообщил в своем посте создатель PyBitmessage Петер Шурда (Peter Šurda), целью взломщиков был криптокошелек Electrum, однако брешь позволяла открыть и прочие документы.

Шурда призвал пользователей мессенджера обновить код доступа к своим приложениям для хранения криптовалют. Чтобы обеспечить абсолютную защищенность, рекомендуется также сменить системный пароль и сохраненные в веб-браузере учетные данные. Последняя мера связана с тем, что невозможно понять, до каких именно файлов на атакованных компьютерах удалось добраться преступникам.

На данный момент опубликован патч для Linux-дистрибутива (версия 0.6.3.2). Обновления для Windows и macOS ожидаются в ближайшие дни.

Журналисты издания Bleeping Computer отметили, что через PyBitmessage со своими жертвами часто общаются создатели троянов-шифровальщиков. Таким образом, неизвестные взломщики могли присвоить себе и преступные доходы своих «коллег».

Это не первый случай, когда средства пользователей Electrum оказываются в опасности. В январе создатели кошелька выпустили патч для уязвимости, которая оставалась в коде почти два года. Брешь в интерфейсе JSON RPC (JavaScript Object Notation Remote Procedure Call) позволяла преступникам менять настройки приложения, редактировать список контактов и публичных ключей. По сообщению разработчиков, воспользоваться дырой никто не успел.

Категории: Мошенничество, Уязвимости