ทีมผู้พัฒนา HandBrake โปรแกรมแปลงไฟล์แบบโอเพ่นซอร์สยอดนิยม ได้ประกาศเตือนผู้ใช้ Mac ที่ดาวน์โหลดโปรแกรมช่วงวันที่ 2 พฤษภาคม เวลา 14.30 น. - 6 พฤษภาคม เวลา 11.00 น. (ตามเวลา UTC) ว่ามีความเสี่ยงต่อการดาวน์โหลดโปรแกรมที่ฝังโทรจันมาด้วย 50%
HandBrake เผยว่า มีผู้แอบเข้ามาเปลี่ยนไฟล์ HandBrake-1.0.7.dmg ซึ่งเป็นไฟล์โปรแกรมสำหรับ Mac ที่วางไว้บนเซิร์ฟเวอร์ download.handbrake.fr ซึ่งเป็นเซิร์ฟเวอร์ mirror โดยโทรจันดังกล่าวคาดว่าน่าจะเป็นโทรจันอีกประเภทที่แตกต่างจาก OSX.PROTON และตอนนี้ Apple ได้เริ่มอัพเดตซอฟต์แวร์ XProtect (ซอฟต์แวร์ด้านความปลอดภัยใน macOS) เพื่อจัดการกับโทรจันดังกล่าวแล้ว ซึ่งจะเริ่มปล่อยให้ผู้ใช้ Mac โดยอัตโนมัติเมื่อเชื่อมต่ออินเทอร์เน็ต
HandBrake ได้แบ่งผู้ใช้ออกเป็น 4 กลุ่มที่ได้และไม่ได้รับผลกระทบดังนี้
วิธีตรวจสอบมีอยู่สองแบบ ถ้ายังไม่รันโปรแกรมให้ตรวจสอบค่า checksum ของ SHA1 และ SHA256 ของไฟล์ HandBrake.dmg ถ้าตรงตามด้านล่าง แสดงว่าโปรแกรมที่ดาวน์โหลดมาฝังโทรจันด้วย
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
ส่วนผู้ที่รันโปรแกรมไปแล้ว ให้เปิด Activity Monitor บน macOS ซึ่งหากพบ process ที่มีชื่อว่า Activity_agent แสดงว่าติดโทรจันแล้ว แนะนำให้ลบโดยรัน Terminal และรันทีละคำสั่งตามลำดับ
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
เมื่อรันคำสั่งเสร็จแล้ว ให้ลบไฟล์โปรแกรม HandBrake ทิ้งให้หมด และผู้ใช้ควรเปลี่ยนรหัสผ่านที่บันทึกไว้ใน Keychain ของ macOS รวมถึงรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ด้วย
หลังจากเกิดเหตุการณ์ดังกล่าว HandBrake ได้เริ่มปรับปรุงเซิร์ฟเวอร์ mirror โดยจะทำการสร้างใหม่ทั้งหมด ตอนนี้อาจจะเข้าไม่ได้หรือว่าดาวน์โหลดไฟล์ได้ช้า และในระหว่างการปรับปรุงเซิร์ฟเวอร์นี้ HandBrake จะยังไม่เปิดให้ดาวน์โหลดไฟล์โปรแกรมเวอร์ชันเก่า
ที่มา - HandBrake