HandBrake镜像下载伺服器被骇上周下载的Mac用户有5成机率遭植入木马

Handbrake

开放源码影片转档工具HandBrake上周六（5/6）警告，Handbrake的镜像下载伺服器download.handbrake.fr遭到骇客入侵，骇客并将支援macOS的HandBrake档案置换成内含木马程式的版本，于今年5月2日到5月6日间下载Mac版HandBrake的使用者将有一半的机率受到感染。

HandBrake为一自由及开放源码的影片转档工具，可让使用者更方便地将DVD上的电影转至资料储存装置，它支援Winodws、Linux与macOS。

根据HandBrake社群的说明，镜像网站上的HandBrake 1.0.7.dmg已被置换成另一个内含木马程式的恶意档案，若使用者是透过HandBrake 0.10.5或更早期的版本所内建的更新机制进行升级，由于这些版本不会验证数位签章，因此便会进行安装并受到木马程式的感染；若是利用HandBrake 1.0或以后的版本所内建的更新机制进行升级，即无受感染之虞。

相关的木马程式为Proton的变种，Proton为一锁定macOS的远端存取木马，它能在被骇系统上执行各种命令、侧录键盘、下载更多恶意程式或是把系统上的资料上传至远端伺服器，也能窃取系统上的KeyChain或浏览器所储存的密码。

若使用者在macOS上执行Activity Monitor时发现了一个名为Activity_agent的程序时，代表已受到Proton的感染，可藉由macOS上的终端（Terminal）程式将它移除，再移除所安装的HandBrake程式。

苹果也已更新macOS上的XProtect安全机制以封锁此一Proton变种。