✔В официальном репозитории Arch User Repository обнаружили малварь - «Новости»

11 июля 2018 650 Новости 0

В официальном пользовательском репозитории Arch Linux (Arch User Repository, AUR) нашли сразу три вредоносных пакета.

Проблему обнаружили сами разработчики AUR. Дело в том, что в пользовательском репозитории любой желающий может перехватить контроль над «осиротевшими» проектами, которые были заброшены своими оригинальными разработчиками. В минувшие выходные пользователь xeactor таким образом перехватил контроль над пакетом acroread, исходно предназначенном для работы с файлами PDF в Arch Linux.

Получив управление, xeactor внедрил в пакет вредоносный код, который загружал файл «~x» (VirusTotal, исходный код) с сайта ptpb.pw, — ресурса, похожего на Pastebin, где пользователи могут размещать текстовые данные. В итоге, загрузка пакета и выполнение файла ~x приводили к скачиванию и запуску еще одного файла: «~u» [VirusTotal, исходный код].

Однако загрузка ~u не являлась единственной задачей ~x, помимо этого ~x вносил изменения в systemd и добавлял таймер запуска ~u с интервалом 360 секунд. В свою очередь, сам ~u собирал данные о зараженных системах (протоколировались дата и время, ID машины, информация о CPU, детали Pacman, а также результат выполнения команд uname -a и systemctl list-units). Затем информация заливалась в файл Pastebin, используя кастомный API-ключ атакующего.

Иной вредоносной активности выявлено не было, и разработчики предполагают, что успели поймать злоумышленника «с поличным» еще на стадии подготовки и сбора данных. На следующем этапе преступник, скорее всего, перешел бы к активным действиям, собрав достаточно статистики и выбрав наиболее подходящий вектор атак.

Похожий вредоносный код был обнаружен еще в двух пакетах, над которыми недавно тоже поработал xeactor. В итоге заражены оказались: