Steven Frank, sviluppatore della software house Panic, ha pubblicato un post sul blog aziendale spiegando di avere inavvertitamente scaricato una versione “infetta” di HandBrake, nota applicazione per la conversione video il cui web server, come abbiamo spiegato qui, è stato qualche giorno addietro violato. Un gruppo di pirati informatici ha sostituito la versione legittima del software con una versione che include un malware costruito ad hoc per Mac.
Gli sviluppatori di HandBrake consigliano a chiunque abbia scaricato il software su Mac tra il 2 Maggio e il 6 Maggio di verificare il valore del checksum SHA1 / 256 del file prima di eseguirlo o, nel dubbio, di scaricare da zero la versione corretta dello strumento di transcodifica video.
Lo sviluppatore di Panic ha scaricato HandBrake esattamente nei giorni nei quali alcuni cybercriminali avevano preso di mira il sito degli sviluppatori del transcoder; all’interno del software in questione era nascosto il malware noto come OSX/Proton.A che richiede agli utenti i privilegi di amministratore consentendo a terze parti di controllare e accedere in remoto al Mac “infetto”.
Frank ha indicato le proprie credenziali e permesso al malware di ottenere accesso a dati sensibili dell’azienda conservati su Github (un servizio di hosting per progetti software). Quando la notizia dell’attacco al sito di HandBrake è cominciata a diffondersi, lo sviluppatore aveva già indicato le sue credenziali permettendo a sconosciuti di accedere ai codici sorgenti di varie applicazioni sviluppate da Panic.
Panic è una software house nota e apprezzata dagli utenti Apple per varie applicazioni Mac e iOS, incluso il web editor Coda, il client FTP Transmit, il client SSH Prompt 2, il gioco FireWatch e altre ancora. I cybercriminali hanno confermano in una mail inviata a Panic di essere in possesso del codice sorgente delle applicazioni chiedendo un riscatto in Bitcoin, minacciando altrimenti di rendere pubblico il codice. Gli sviluppatori non hanno ad ogni modo intenzione di pagare, ritengono che non siano stati rubati dati concernenti gli utenti e affermano che non c’è stata violazione del web server e del Panic Sync, i server che consentono di sincronizzare automaticamente impostazioni e altri settaggi delle applicazioni tra i vari dispositivi degli utenti.
Dopo una riunione interna, per ipotizzare il peggiore scenario possibile, l’azienda è arrivata alla conclusione che la diffusione del codice sorgente non rappresenta un vero pericolo. L’unico problema che potrebbe derivare da quanto accaduto, è la diffusione di applicazioni che mimano il comportamento delle app di Panic con integrato al loro interno qualche malware. Panic sta ad ogni modo collaborando con Apple per identificare app “illegittime” in modo che siano identificate e impedito automaticamente il loro avvio. Sulla questione sta indagano anche l’FBI, l’ente investigativo di polizia federale degli Stati Uniti.
Al momento Panic suggerisce di installare nuove applicazioni scaricandole solo dal Mac App Store; invita inoltre chiunque individua codice sorgente che ha in qualche modo a che fare con le applicazioni di Panic, ad avvisare l’azienda.