Исследователь безопасности под псевдонимом SerHack обнаружил в расширении MEGA.nz для браузера Google Chrome, которое было загружено десятки миллионов раз по всему миру, вредоносный код, позволяющий злоумышленникам похищать пароли от учетных записей Google, Amazon, Microsoft и GitHub, а также приватные ключи кошельков для криптовалюты Monero и Ethereum.
Вредоносный функционал был обнаружен в исходном коде расширения облачного хранилища файлов MEGA.nz версии 3.39.4. Инженеры Google уже вмешались и удалили расширение из официального интернет-магазина Chrome, а также отключили расширение для существующих пользователей.
Согласно анализу источника расширения, вредоносный код запускается на таких сайтах, как Amazon, Google, Microsoft, GitHub, MyEtherWallet и MyMonero, а также платформе для обмена криптовалютами IDEX.
Рикардо Спаньи (Ricardo Spagni), известный разработчик Monero, подтвердил эту информацию, сказав своим подписчикам в Twitter, что приватные ключи Monero и Ethereum могут быть украдены с помощью приложения MEGA Chrome (версия 3.39.4).
Вредоносный код похищает имена пользователей, пароли и другие данные сеанса, необходимые злоумышленнику для авторизации. После сбора данных расширение затем отправляет всю конфиденциальную информацию на сервер megaopac[.]host, расположенный в Украине.
Пользователям Chrome, использовавшим расширение, рекомендуется просмотреть раздел «Расширения» браузера и убедиться, что MEGA.nz отключено, а также сменить пароли и переместить криптовалюту на новые кошельки.
