上次是開源視頻轉(zhuǎn)換器應(yīng)用Handbrake，這次是媒體播放器Elmedia Player，連下載工具Folx都中招。

　　在開發(fā)者的服務(wù)器遭到入侵后，一款受歡迎的 Mac OSX 媒體播放器和一款配套的下載管理器的下載感染了木馬病毒。

　　軟件開發(fā)商 Eltima 的 Elmedia Player 應(yīng)用擁有超過一百萬用戶，其中一些人可能也無意中安裝了 Proton，這是一種遠(yuǎn)程訪問木馬，專門針對 mac 電腦，目的是入侵和盜竊用戶信息。攻擊者還設(shè)法通過同樣的惡意軟件，破壞了另一款 Eltima 產(chǎn)品——Folx。

　　Proton 后門系統(tǒng)為攻擊者提供了幾乎完整的入侵系統(tǒng)視圖，可以竊取瀏覽器信息、密鑰日志、用戶名和密碼、加密貨幣錢包、macOS keychain 數(shù)據(jù)等等。

　　在給外界媒體的一封電子郵件中，Eltima 的發(fā)言人表示，該惡意軟件是通過下載來分發(fā)的，因為攻擊者“在我們服務(wù)器上的 tinymce JavaScript 庫中使用了未知安全漏洞”。

　　這一事件最早于 10 月 19 日被曝光，當(dāng)時該公司的網(wǎng)絡(luò)安全研究人員注意到 Elmedia Player 正在分發(fā) Proton 木馬惡意軟件。如果用戶在美國東部時間下午 3:15 之前從 Eltima 下載了軟件，那么他們的系統(tǒng)可能已經(jīng)被惡意軟件攻陷。

　　如果系統(tǒng)上有下列文件或目錄，則意味著系統(tǒng)上安裝了 Elmedia Player 的木馬病毒：

　　/tmp/Updater.app/
　　/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
　　/Library/.rand/
　　/Library/.rand/updateragent.app/

　　不知通過何種方式，攻擊者設(shè)法在正常媒體播放器周圍建立了一個簽名的包裝器，從而導(dǎo)致了 Proton 病毒與之捆綁在一起。事實上，研究人員表示，他們觀察到了包裝器的簽名，所有這些包裝都是用同一個蘋果開發(fā)者 ID 進(jìn)行的。

　　Eltima 已經(jīng)通報蘋果已經(jīng)撤銷了這一 ID，并與蘋果合作，以查明最初的惡意行為是如何進(jìn)行的。一名 Eltima 的發(fā)言人告訴媒體，雖然惡意的命令和控制程序是在 10 月 15 日注冊的，但直到 10 月 19 日軟件才開始散布惡意木馬。

　　對于那些不幸成為此次攻擊的受害者——這種攻擊只涉及到 Elmedia Player 的最新下載，自動更新沒有被攻破——擺脫惡意軟件的唯一辦法是進(jìn)行完整的操作系統(tǒng)重新安裝。

　　受害者還被警告說，他們應(yīng)該采取“適當(dāng)?shù)拇胧?rdquo;來確保他們的數(shù)據(jù)不能被攻擊者利用。

　　用戶現(xiàn)在可以從 Eltima 網(wǎng)站下載一款干凈的 Elmedia Player，該公司表示現(xiàn)在已經(jīng)沒有任何不受控制的病毒或木馬危害了。

　　作為對這一事件的回應(yīng)，Eltima 表示，該公司已采取行動，防范未來的攻擊，并改善服務(wù)器安全。不少新聞媒體就這件事詢問了蘋果，公司的一位發(fā)言人回應(yīng)道，“在目前這個階段，我們沒有什么可補充的”。

　　這并不是 Proton 木馬第一次通過供應(yīng)源攻擊的方式進(jìn)行感染。今年 5 月，剛剛下載了蘋果 Mac 的 HandBrake 視頻轉(zhuǎn)碼器的用戶們就被告知，有 50% 的幾率從一個泄露的鏡像文件中感染了該木馬。