Monero-website bevatte korte tijd binary met malware die cryptovaluta stal

De website van cryptomunt Monero is korte tijd gehackt geweest. Er werd malware op de site geplaatst, waarbij cryptovaluta van gebruikers werd gestolen. Hoeveel slachtoffers de geïnfecteerde software hebben gedownload, is niet bekend.

De malware heeft mogelijk veertien uur online gestaan, zegt Monero. De CLI-binaries van Monero's wallet waren vervangen door een bestand met malware erin. Die malware kon de cryptomunt stelen uit de wallets die gebruikers op hun computer hadden staan. Het ging alleen om de CLI-binaries en niet om de Windows-, MacOS- of Linux-versies van de wallet. De malware werd ontdekt toen een gebruiker opmerkte dat de verificatiehash niet overeen kwam met de download zelf. Hij diende een issue in op GitHub. Monero bevestigde het lek later in een tweet.

Monero zegt dat de geïnfecteerde binaries slechts kort online stonden. Ze raden alle downloaders van de CLI-wallet aan de hashes daarvan te checken als zij die maandag tussen 01.30 en 15.30 uur hebben gedownload. Het is nog niet bekend hoe de supply-chain-aanval heeft kunnen plaatsvinden en of ook andere systemen van Monero zijn gehackt. De ontwikkelaars achter de munt zeggen nog onderzoek te doen en later met meer details te komen.

Monero is een cryptomunt die veel gebruikt wordt in cryptominers. Dat gebeurt tegenwoordig vooral met cryptomalware, maar het was ook ooit mogelijk Monero te delven via een plugin die beheerders op hun website konden implementeren. Onder andere Coinhive gebruikte die omstreden methode, maar stopte daar in maart van dit jaar mee.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-11-2019 10:2219

20-11-2019 • 10:22

19 Linkedin

Lees meer

Troy Hunt neemt domeinnaam van Coinhive over en toont waarschuwing op websites Nieuws van 1 april 2021
Criminelen misbruiken Europese supercomputers voor cryptomining Nieuws van 18 mei 2020
Hacker publiceert 2TB aan data van Cayman National Bank Nieuws van 18 november 2019
'Nieuwe versie van ransomwarevariant kiest tussen versleutelen en cryptomining' Nieuws van 6 juli 2018
Amerikaanse toezichthouder roept mensen op cryptojacking te melden Nieuws van 8 juni 2018
Criminelen gebruiken kwetsbare rTorrent-clients om Monero te minen Nieuws van 2 maart 2018
Meer producten en artikelen
Beveiliging en antivirus cryptocurrency

Reacties (19)

-Moderatie-faq
19
19
11
1
0
8
Wijzig sortering
GeoBeo
20 november 2019 10:33
Zojuist geprobeerd en ik krijg nog steeds checksum errors via Chocolatey (package manager). Ik ging ervan uit dat het aan de package manager lag, maar nu weet ik het even niet meer:
Verifying with package checksum to determine if it needs to be redownloaded.
Error - hashes do not match. Actual value was '6B72B3836D179EB517154BBCB8E2119B168AE9D1054866A438AAEAB9521F795F'.
Downloading monero 64 bit
from 'https://downloads.getmonero.org/cli/win64'
Progress: 100% - Completed download of C:\Users\xxx\AppData\Local\Temp\chocolatey\monero\0.10.3.1\monero-win-x64-v0.15.0.0.zip (72.14 MB).
Download of monero-win-x64-v0.15.0.0.zip (72.14 MB) completed.
Error - hashes do not match. Actual value was '6B72B3836D179EB517154BBCB8E2119B168AE9D1054866A438AAEAB9521F795F'.
ERROR: Checksum for 'C:\xxx\bever\AppData\Local\Temp\chocolatey\monero\0.10.3.1\monero-win-x64-v0.15.0.0.zip' did not meet '2fbda6f6b1051053703e40cf77b6c6e11334509ad03a3c22d89b6bcb05615910' for checksum type 'sha256'. Consider passing the actual checksums through with --checksum --checksum64 once you validate the checksums are appropriate. A less secure option is to pass --ignore-checksums if necessary.
The install of monero was NOT successful.
//edit: hash in de package manager en die op de getmonero website komen niet overeen. Als ik handmatig de hash van de getmonero website invoer in de package manager klopt het wel. Maar welke nou de goede is?

[Reactie gewijzigd door GeoBeo op 20 november 2019 10:43]

Bliep
@GeoBeo20 november 2019 10:58
Een hash zoals die op getmonero.org staat is in feite net zo borgend als een self signed https certificaat. Je zal óf vertrouwen uit de massa moeten halen dmv torrents óf een trustworthy partij moeten vinden die de binary voor je gesigneerd heeft. Zonder dat is het allemaal een wc-eend verhaal
Qwerty-273
@Bliep20 november 2019 12:34
Het bestand waarin de hashes vermeld worden is ondertekend met de sleutel van Fluffy Pony (of te wel Riccardo Spagni de hoofdontwikkelaar / het gezicht). Dat bestand kan je dus controleren of het bestand met de hashes juist is ondertekend. Dan kan je daarmee de betrouwbaarheid van die hashes aannemen.

Ze hebben (mede hierdoor) guides gepubliceerd hoe je dit kan controleren (als je niet weet hoe dit moet).
https://web.getmonero.org...ion-windows-beginner.html
https://web.getmonero.org...ation-allos-advanced.html
AmigaWolf
@Qwerty-27320 november 2019 20:45
En dan staan mensen raar te kijken als je uBlock Origin en al die andere heb draaien op je computers webbrowser en op die van je smartphone, want is helemaal niet nodig zeggen ze dan.

Want hoe vaak is het ook gebeurd dat het in de reclame zat.

[Reactie gewijzigd door AmigaWolf op 20 november 2019 20:46]

GeoBeo
@Bliep20 november 2019 11:01
Een hash zoals die op getmonero.org staat is in feite net zo borgend als een self signed https certificaat.
Niet echt borgend dus. Als ze het voor elkaar gekregen hebben een nieuwe evil binary te uploaden in plaats van de oude (zonder dat iemand het door had gedurende 14 uur) dan krijgen ze het vast ook wel voor elkaar een stukje tekst van de hash op de website aan te passen...
[Yellow]
@Bliep20 november 2019 11:53
Het idee is dan ook vaak dat de hash van een download op een *andere* server staat waardoor de hacker niet één maar twee systemen moet binnendringen. Is geen borging maar wel een extra hindernis. Die in dit geval dan ook prima gewerkt heeft!
paradoXical
@Bliep20 november 2019 12:30
Dat is de omzeilen door de hash via een derde, onafhankelijke, partij te publiceren. Ik verbaas me altijd over het feit dat binaries en bijbehorende hash vanaf de zelfde server geserveerd worden...

In feite is dat totaal nutteloos wanneer je connect over https?
dehardstyler
@GeoBeo20 november 2019 10:52
Ik zou gewoon lekker even helemaal niks doen, denk je ook niet? Je kan natuurlijk je wallet op het spel zetten door het zelf te ontdekken, je kunt het ook niet doen en de mensen van Monero het even laten uitzoeken en die met een statement laten komen? :)
GeoBeo
@dehardstyler20 november 2019 11:05
Ik zou gewoon lekker even helemaal niks doen, denk je ook niet? Je kan natuurlijk je wallet op het spel zetten door het zelf te ontdekken, je kunt het ook niet doen en de mensen van Monero het even laten uitzoeken en die met een statement laten komen? :)
Ik had vandaag toevallig de GUI wallet gedownload en las daarna pas dit nieuws.

Omdat, het zogenaamd nu opgelost zou zijn was ik benieuwd of dat ook echt zo was. Lijkt nog niet helemaal opgelost dus voor wat betreft iig de package manager (die los staat van Monero zelf).

Ik vraag me nu af of ze Chocolatey wellicht ook hebben misbruikt als distributiekanaal voor de foute CLI binary (disclaimer: "ik vraag het me af" betekend niet "Ik denk dat").

Er blijkt in Chocolatey gewoon een juiste hash van een oudere versie in de package manager te zitten. Package manager probleem dus en geen Monero probleem.

[Reactie gewijzigd door GeoBeo op 20 november 2019 14:05]

D_el_p
@GeoBeo20 november 2019 11:09
Het lijkt erop dat hij de SHA256 hash van versie 0.10.3.1 (die op in chocolatey repo staat) probeert te vergelijken met de SHA256 hash van de huidige versie (0.15.0.0). Dit zijn echter wel allebei legitieme hashes.

Versie:0.10.3.1:
- '2fbda6f6b1051053703e40cf77b6c6e11334509ad03a3c22d89b6bcb05615910'
- https://github.com/monero...ro/releases/tag/v0.10.3.1 (helemaal onderaan)

Versie:0.15.0.0:
- '6B72B3836D179EB517154BBCB8E2119B168AE9D1054866A438AAEAB9521F795F'
- https://github.com/monero...ro/releases/tag/v0.15.0.0 / https://web.getmonero.org/downloads/hashes.txt

- Edit: Voor de andere comments, de laatste link is een PGP-Signed message en dus prima te controleren op authenticiteit. Zonder zou de hash dus alleen controleren op integriteit en inderdaad niet bewijzen dat het software is afkomstig van monero (en dus ook vervangen kunnen worden)

[Reactie gewijzigd door D_el_p op 20 november 2019 11:33]

biomass
@GeoBeo20 november 2019 12:05
Check het Github issue voor de hashes.
Mayonaise
@GeoBeo20 november 2019 19:04
Doet chocolately een hash controle standaard voor alle downloads?
Kain_niaK
20 november 2019 11:53
Daarom is het zo belangrijk dat je de hash van de download controleert met de hash die op de github staat. Dit beschermt je er tegen dat de bestanden onderweg van de server naar je computer veranderen.

En daarna moet je de signatures checken tegenover de public key van de programmeur die je de allereerste keer toen je de software ging gebruiken hebt geïnstalleerd. Dit beschermt je tegen het gehackt zijn van de site zelf.

Dit zijn de instructies die ik volg, elke keer als ik een nieuwe versie van Electron Cash installeer. Ik heb een cold wallet waar coins in zitten die niet van mij zijn maar die ik beheer, dus het updaten van die software (via een usb stickje) komt uiterst kritisch. Je zou maar software installeren die zwakke private keys maakt ...

[Reactie gewijzigd door Kain_niaK op 20 november 2019 11:54]

AuteurTijs Hofmans
@Kain_niaK20 november 2019 14:36
Het is helaas wel altijd irritant veel gedoe, maar voor dingen als een cryptowallet lijkt het me niet meer dan logisch dat je zoiets doet ja.
Kain_niaK
@Tijs Hofmans20 november 2019 18:03
Nu ja, ik heb mijn cold wallet nu een jaar of 3 en nog maar een keer de software moeten updaten om compatible te blijven.
Dark Angel 58
20 november 2019 11:54
Wat als een hacker ook een nieuwe hash waarde op website plaatst? Dan zou het hele grote kraak van de eeuw worden, tijdlang zal niemand het merken...

Het is verstandig als men (software developers of verantwoordelijken van veilig internet) een zwaar beveiligd website gaat opzetten die elke HASH waardes kunnen controleren en het vergelijken met die in de databases staan.
Als je een bestand bij bijvoorbeeld open source website die kant en klaar software hebben wilt downloaden, stuurt dat website een verzoek naar zwaarbeveilgd HASH controle website. Als HASH waarde afwijkt kun je het bestand niet downloaden, een optimale bescherming voor de gebruikers.
Dus het moet wereldwijd ingevoerd worden, een nieuwe stap voor veilige internet.
Iedere developer kan alleen zijn eigen hash waardes van zijn eigen software of apps indienen!
Dus als een website met software die geen HASH hashwaardes gebruiken, kunnen we het niet downloaden.
GeoBeo
@Dark Angel 5820 november 2019 12:11
Wat als een hacker ook een nieuwe hash waarde op website plaatst? Dan zou het hele grote kraak van de eeuw worden, tijdlang zal niemand het merken...
Dat vroeg ik me ook af. Hier het antwoord: D_el_p in 'nieuws: Monero-website bevatte korte tijd binary met malware die c...https://tweakers.net/nieu...ction=13691844#r_13691844
deredding
@Dark Angel 5820 november 2019 13:32
De download server was gecompromitteerd, niet de website. Daarnaast zijn de gepubliceerde hashes gpg-signed door de lead-maintainer van Monero, dit kan je prima zelf snel checken, volg daarvoor de guidelines die ook op de website, github en subreddit vermeld zijn.
Kain_niaK
@deredding20 november 2019 18:06
Die kun je alleen checken als je zelf een eigen copy van hun pub keys hebt. Als een hacker ipv de download server de website zelf hackt dan kan hij natuurlijk alles veranderen. Ook de pub key van de lead-maintainer. Jij bent hier dus alleen tegen beschermt als je deze pub key al eerder hebt gedownload of hebt geïmporteerd. Dan bij het checken van de signatures krijg je fout melding en als je dan de pub key gaat checken kom je er achter dat hij verandert is. En dan de monero lead dev contacteren om te vragen waarom hij zijn pub key heeft verandert ....

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee