HandBrake鏡像下載伺服器被駭，上周下載的Mac用戶有5成機率遭植入木馬

開放源碼影片轉檔工具HandBrake上周六（5/6）警告，Handbrake的鏡像下載伺服器download.handbrake.fr遭到駭客入侵，駭客並將支援macOS的HandBrake檔案置換成內含木馬程式的版本，於今年5月2日到5月6日間下載Mac版HandBrake的使用者將有一半的機率受到感染。

HandBrake為一自由及開放源碼的影片轉檔工具，可讓使用者更方便地將DVD上的電影轉至資料儲存裝置，它支援Winodws、Linux與macOS。

根據HandBrake社群的說明，鏡像網站上的HandBrake 1.0.7.dmg已被置換成另一個內含木馬程式的惡意檔案，若使用者是透過HandBrake 0.10.5或更早期的版本所內建的更新機制進行升級，由於這些版本不會驗證數位簽章，因此便會進行安裝並受到木馬程式的感染；若是利用HandBrake 1.0或以後的版本所內建的更新機制進行升級，即無受感染之虞。

相關的木馬程式為Proton的變種，Proton為一鎖定macOS的遠端存取木馬，它能在被駭系統上執行各種命令、側錄鍵盤、下載更多惡意程式或是把系統上的資料上傳至遠端伺服器，也能竊取系統上的KeyChain或瀏覽器所儲存的密碼。

若使用者在macOS上執行Activity Monitor時發現了一個名為Activity_agent的程序時，代表已受到Proton的感染，可藉由macOS上的終端（Terminal）程式將它移除，再移除所安裝的HandBrake程式。

蘋果也已更新macOS上的XProtect安全機制以封鎖此一Proton變種。