Recentemente a Komodo Plataform descobriu uma backdoor em um de seus aplicativos mais antigos, o Agama. Sabendo que eles tinham pouco tempo para agir, a equipe usou a própria falha de segurança para remover todos as aplicações e valores para um local mais seguro.
Graças a esta tatica, 8 milhoes de Komodo coins e 96 bitcoins (quase 13 milhões de dólares) foram removidas das contas com a vulnerabilidade que poderiam ser hackeadas a qualquer momento.
Sobre a falha
O backdoor foi descoberto pela equipe de auditoria de segurança dos pacotes de repositório JavaScript do NPM. A equipe do NPM disse que identificou uma atualização maliciosa na biblioteca JavaScript electron-native-notify (versão 1.1.6), que continha código projetado para roubar criptomoedas e outras senhas de login específicas para aplicativos de criptomoeda.
Embora inicialmente não fizesse sentido que uma biblioteca com um conjunto de recursos muito limitado contivesse uma funcionalidade tão avançada, depois de investigar o problema, o pessoal do NPM percebeu que estavam lidando com um ataque na cadeia de fornecimento e usando a biblioteca agora como backdoor.
A equipe do npm disse que o código malicioso funcionaria conforme o planejado e coletaria os seeds e senhas do aplicativo de carteira da Agama e faria o upload dos dados para um servidor remoto. Com estes seeds e senhas teriam permitido que um hacker se conectasse às contas de criptomoedas gerenciadas pela carteira Agama e roubasse os fundos dos usuários.
Ações tomadas
Após varrer todo o sistema para remover os valores as carteiras com risco de segurança, a equipe da Komodo migrou tudo para outro local e agora está permitindo que os devidos donos recuperem seus investimentos.
Enquanto isso, a empresa descontinuou a antiga carteira Agama e agora está recomendando que os usuários migrem para um de seus produtos mais novos. Forks do aplicativo carteira Agama, executado por outras empresas, como a carteira Verus Agama, não foram afetados.
A Komodo também está recomendando que quando os usuários recuperarem seus fundos, eles criem novos endereços KMD ou BTC que usam diferentes sementes e senhas das que eles usaram antes, para evitar que o hacker use as seeds e senhas antigas que coletaram para futuros ataques.