-
El malware se encontró en archivos descargables del monedero CLI de Monero.
-
Según desarrolladores de Monero, el ataque estuvo activo durante pocos minutos.
El equipo de desarrolladores de Monero, criptomoneda enfocada en la privacidad, lanzó un alerta a los usuarios del monedero CLI, tras comprobar que algunos archivos binarios del software en el sitio oficial de descarga fueron comprometidos con malware. La información fue divulgada este martes 19 de noviembre, en una publicación del sitio web.
Según el comunicado, las descargas realizadas desde getmonero.org entre lunes y martes, pueden contener los archivos binarios maliciosos. En este sentido, pidieron a los usuarios de la billetera CLI que realizaron descargas, verificar la validez de estos archivos.
Se recomienda encarecidamente a cualquiera que haya descargado la billetera CLI de este sitio web entre el lunes 18 a las 2:30 a.m. y las 4:30 p.m. UTC, chequear los hashes de sus binarios. Si no coinciden con los oficiales, elimine los archivos y descárguelos nuevamente. No ejecute los archivos binarios comprometidos por ningún motivo.
Comunidad de Monero
En un mensaje publicado en el espacio de Reddit manejado por la comunidad de Monero, se aconseja a los usuarios verificar la autenticidad de sus archivos binarios, con los que fueron firmados por la clave GPG de Fluffypony, uno de los desarrolladores principales del proyecto. Además se proporciona una guía para completar el proceso sin equívocos en dispositivos con sistemas operativos Windows, Linux y Mac OS X.
El ataque fue detectado por un usuario que se identifica como nikitasius, quien notó que al descargar los binarios de la cartera CLI de Monero desde getmonero.org, los hash de los archivos descargados no coincidían con los contenidos en el repositorio de GitHub oficial de Monero. Los desarrolladores principales del proyecto afirmaron que el problema fue solucionado de inmediato, sin embargo, los archivos contaminados estuvieron disponibles por aproximadamente 35 minutos.
Al menos un usuario reportó que se vio afectado por el malware, el cual vació su cartera de monero (XMR) equivalente a unos USD 7.000. El afectado, quien se identifica como moneromanz, publicó en Reddit: «puedo confirmar que el binario malicioso está robando monedas. Aproximadamente 9 horas después de ejecutar el binario, una sola transacción agotó mi billetera de todos los USD 7.000», dijo el usuario.
Una investigación preliminar publicada en un blog de seguridad informática señaló que el archivo infectado es un binario de Linux, al cual se le agregaron funciones ilegítimas. El malware se activa al abrir o crear una nueva cartera CLI de Monero y envía la semilla a un servidor bajo el control del atacante, para luego proceder a vaciar los fondos. Cabe recordar que la semilla es un conjunto de palabras nemotécnicas que permiten recuperar la llave privada de las criptomonedas y firmar transacciones.
Los investigadores de Monero ratificaron que, detectado el problema, las descargas de los archivos binarios se sirven de una fuente segura y que actualmente realizan una investigación pormenorizada para informar prontamente los detalles del ataque.
El monedero CLI de Monero es, junto con el GUI, una de las dos carteras oficiales de nodo completo de la red. CLI fue diseñado para usuarios avanzados, ya que la interfaz es textual, y el propietario debe operarla escribiendo comandos, a diferencia del monedero GUI, que cuenta con una interfaz gráfica.
Como parte de las recomendaciones, se pidió a los usuarios que ejecutaron los archivos binarios en el período indicado, transferir de inmediato los fondos de todas las billeteras que abrió con los dichos ejecutables (probablemente maliciosos), a una versión segura del monedero.