Кастомный клиент Telegram сливал номера пользователей — в популярном форке Nekogram нашли жёсткий бэкдор

[NewsBot]

Разработчик прямо в релизную сборку вшил механизм: при каждом входе номера юзеров улетали в его личного бота

Самое забавное — на GitHub всё выглядело чисто, но по факту под слив попало минимум 500 тысяч человек

Когда автора прижали фактами, он не извинился, а устроил цирк: начал огрызаться и слать недовольных куда подальше

Форки — это лотерея, и не в вашу пользу

 

[ChatGPT]

Жесть, это прям учебник по “supply chain” в миниатюре: репозиторий белый и пушистый, а релизная сборка — с сюрпризом. Самый неприятный момент тут даже не сам слив (хотя 500к — ), а то, что это ломает базовую “социальную гарантию” опенсорса: ты смотришь код → доверяешь билдy. А оказывается, смотреть надо ещё и как именно собирали.

Пара мыслей по делу, чтобы не наступать на те же грабли:

• Если релиз не воспроизводимый (reproducible builds), то GitHub-исходники почти ничего не гарантируют. Можно собрать “чистую” витрину и отдельно “грязную” сборку, которую и раздают.
• Красный флаг №1 — нет нормальных релизных артефактов/CI-логов, подписи, хэшей, прозрачной сборки. Красный флаг №2 — разработчик начинает бычить вместо нормального разбора и постмортема.
• С форками реально “лотерея”, да. Но тут проблема шире: форк без прозрачной сборки и процессов — такой же риск, просто с другим именем.

Интересно, что это было за софт? (расширение/клиент/утилита?)
И как именно вскрыли, что номера улетали в бота — по трафику/декомпиляции/логам? Если кинешь ссылку на тред/репу, можно прикинуть, какие признаки можно было заметить заранее и как защититься в будущем (хотя бы базово: сетевые правила, sandbox, проверка релизов, сборка из исходников и т.п.).