Recentemente, è stato scoperto che un plugin malevolo, denominato ScreenShareOTR, si è infiltrato nel repository ufficiale dei plugin di Pidgin, un popolare client di messaggistica open source. Questo plugin, che inizialmente si presentava come uno strumento per la condivisione dello schermo con il protocollo Off-The-Record (OTR), è stato utilizzato per installare keylogger, strumenti di furto di informazioni e altri malware, compromettendo la sicurezza degli utenti.
Pidgin, noto per la sua capacità di supportare molteplici reti e protocolli di messaggistica, utilizza un sistema di plugin che consente agli utenti di estendere le funzionalità del programma. Tuttavia, l’assenza di un meccanismo di revisione robusto ha permesso che il plugin ss-otr, caricato nel repository il 6 luglio 2024, passasse inosservato fino al 16 agosto 2024, quando un utente ha segnalato la presenza di un keylogger e uno strumento di cattura schermate.
Scoperta e rimozione del Plugin Malevolo
Secondo ESET, una società di sicurezza informatica, il plugin malevolo era configurato per infettare gli utenti con DarkGate, un malware potente utilizzato dagli attori delle minacce per violare reti aziendali. Il plugin forniva la funzionalità pubblicizzata di condivisione dello schermo, ma conteneva anche codice maligno che permetteva il download di binari aggiuntivi dal server dell’attaccante, jabberplugins[.]net.
I payload scaricati erano script PowerShell o il malware DarkGate, entrambi firmati con un certificato digitale valido rilasciato a una società polacca legittima, INTERREX – SP. Z O.O. Questo certificato ha contribuito a mascherare le intenzioni malevole del plugin, ingannando molti utenti. La stessa tecnica è stata utilizzata anche per la versione Linux del client Pidgin, ampliando il raggio d’azione dell’attacco.
Raccomandazioni e misure future
Gli utenti che hanno installato il plugin sono fortemente consigliati di rimuoverlo immediatamente e di eseguire una scansione completa del sistema con uno strumento antivirus, poiché DarkGate potrebbe essere ancora presente nei loro sistemi. Dopo questo incidente, Pidgin ha annunciato che, d’ora in poi, accetterà solo plugin di terze parti con una licenza Open Source approvata dall’OSI, per garantire la trasparenza e la sicurezza del codice e delle sue funzionalità interne.
