Les utilisateurs ayant téléchargé le portefeuille Monero lundi ont en réalité installé un logiciel malveillant exfiltrant la monnaie virtuelle des comptes des utilisateurs infectés. L’équipe de Monero mène l’enquête quant à la manière dont ce binaire s’est retrouvé sur son site web.
Le site web de Monero propose au téléchargement son client pour divers supports. Rien de très inhabituel jusque-là, si ce n’est que lundi, entre 3h30 et 5h30 heure de Paris, le programme comportait des binaires malveillants. Le problème avait dans un premier temps été signalé sur GitHub, un utilisateur rapportant que le hash du binaire de Monero pour Linux 64-bit proposé sur GitHub ne correspondait plus à celui du site officiel.
Il n’a guère fallu de temps après ce signalement pour que l’équipe derrière Monero remonte à la source du problème : son site web distribuait une version vérolée de son client. « Une enquête rapide a révélé que les fichiers binaires du portefeuille CLI [Command Line Interface] avaient été compromis et qu'une version malveillante était en cours de distribution » explique-t-elle dans un communiqué. « Le problème a été immédiatement résolu, ce qui signifie que les fichiers compromis ont été en ligne pendant très peu de temps ».
Détournement de fonds
Bartblaze, un chercheur en sécurité, s’est penché sur les binaires en question et rapporte que la taille du fichier est différente de celle du fichier légitime, et que de nouvelles fonctions ont été ajoutées. cryptonote::simple_wallet::send_seed, qui transfert le seed d’un portefeuille à node.hashmonero[.]com, et cryptonote::simple_wallet::send_to_cc, laquelle transmet des données à un serveur Command & Control. Et évidemment, les données transférées sont des fonds. « Il vole simplement vos seeds et tente d'exfiltrer des fonds de votre portefeuille » résume Bartblaze sur son blog personnel.
De son côté Monero ne fournit pas plus de détails sur la manière dont des binaires compromis se sont retrouvés sur son site. « La situation est à l'étude et des mises à jour seront fournies prochainement » se contente de préciser l’équipe. Il est recommandé à tout utilisateur ayant téléchargé Monero récemment de vérifier les hashes des binaires téléchargés avec les hashes officiels et de supprimer les fichiers s’ils ne correspondent pas.