Arch Linux AUR Repository sig at indeholde malware

Arch Linux AUR Repository sig at indeholde malware

The Arch Linux-bruger-vedligeholdt software repository kaldet AUR har vist sig at hoste malware. Opdagelsen blev gjort efter en ændring i en af ​​pakkens monteringsvejledning blev gjort. Dette er endnu en hændelse, der viser, at Linux-brugere ikke eksplicit skal have tillid til bruger-kontrollerede depoter.

AUR Bruger-Vedligeholdt Arch Linux Repository Forurenet med malware




Linux-brugere i alle distributioner har modtaget en stor advarsel om ikke at udtrykkeligt har tillid til bruger-run softwarearkiver efter den seneste hændelse relateret til Arch Linux. Projektets bruger vedligeholdt AUR pakker (som står for ”Arch User Repository”) har vist sig at hoste malware kode i flere tilfælde. Heldigvis en kode analyse var i stand til at opdage de ændringer i god tid.

De sikkerhed undersøgelse viser, at viser, at en ondsindet bruger med nick navn xeactor ændret i juni 7 en forældreløs pakke (software uden en aktiv vedligeholder) kaldet acroread. Ændringerne omfattede en krølle script, der henter og kører et script fra et fjernt sted. Dette installerer en vedholdende software, der konfigurerer systemd for at starte med jævne mellemrum. Selv om det fremgår, at de ikke er en alvorlig trussel mod sikkerheden i de inficerede værter, scripts kan manipuleres til enhver tid at omfatte vilkårlig kode. To andre pakker blev ændret på samme måde.

relaterede Story: Gentoo Linux GitHub hacket via Password Guessing

Efter opdagelsen alle farlige forekomster blev fjernet, og den brugerkonto suspenderet. Undersøgelsen afslører, at de gennemførte scripts omfattede en høst af data komponent, der henter følgende oplysninger:

  • Machine ID.
  • Udgangssignalet fra uname -a.
  • CPU Information.
  • Pacman (pakke management utility) Information.
  • Udgangssignalet fra systemctl list-enheder.

Den høstede information skulle overføres til en Pastebin dokument. Den AUR hold opdagede, at de scripts, indeholdt den private API nøgle, der viser, at dette sandsynligvis blev udført af en uerfarne hacker. Formålet med informationssystemet forbliver ukendt.

Opdatering August 2018 – Malware pakker Analyse

Som nævnt før vi har opdateret artiklen med nyere oplysninger om scripts og deres virkninger på målsystemet. Vi har været i stand til at få detaljerede oplysninger om scripts’ operation.

Den oprindelige script implementering har vist sig at indeholde en systemd konfigurationsfil der tilføjer en vedvarende tilstedeværelse på computeren. Dette gør init service til automatisk at starte scriptet hver gang computeren starter. Det er programmeret til at downloade Download script som downloader og kører en skadelig fil.

Det kaldes upload script som kræver flere kommandoer, der høster følgende data:

  • Machine ID
  • data
  • Systemoplysninger
  • pakke Information
  • System Modules Information

Disse oplysninger er derefter indberettes til Pastebin online-konto.




Den bekræftet liste over berørte pakker omfatter følgende AUR firmaer:

  • acroread 9.5.5-8
  • Balz 1.20-3
  • minearbejder port 8.1-2

Der er flere hypoteser, der i øjeblikket betragtes som muligt. En reddit bruger (xanaxdroid_) førstnævnte online, der “xeactor” har lagt adskillige cryptocurrency minearbejder pakker, som viser, at infektion med dem var en sandsynlig næste skridt. Den opnåede systemoplysninger kan bruges til at vælge en generisk minearbejder instans, der ville være forenelig med de fleste af de inficerede værter. Den anden idé er, at nick navn tilhører en hacker gruppe, der kan målrette de inficerede værter med ransomware eller andre avancerede vira.

Hvorvidt Linux-brugere bruger Arch Linux, de bør dobbelttjekke, om nogen bruger-fastholdt depoter, som de bruger er troværdige. Denne hændelse viser endnu engang, at sikkerhed ikke kan garanteres. En bemærkning fra Giancarlo Razzolini (en Arch Linux betroede bruger) læser, der eksplicit tillidsfuld AUR og brug af hjælpeprogrammer er ikke en god sikkerhed praksis. Som reaktion på postlisten annoncerede han indsendt følgende svar:

Jeg er overrasket over, at
denne type af tåbelige pakke overtagelse og malware introduktion sker ikke oftere.

Det er derfor, vi insisterer brugerne altid hente PKGBUILD fra AUR, inspicere det og
bygge det selv. Hjælpere, der gør alt automatisk og brugere, der ikke betaler
opmærksomhed, *vil * har problemer. Du skal bruge hjælpere i endnu højere grad ved din risiko end
AUR selv.

Tidslinje for Arch Linux AUR Incident Respons

  • Sun juli 8 05:48:06 UTC 2018 - Initial Report.
  • Sun juli 8 05:54:58 UTC 2018 - Konto Suspenderet, begå vendt ved hjælp Trusted User privilegier.
  • Sun juli 8 06:02:08 UTC 2018 - De ekstra pakker er fastsat ved AUR teamet.

Brugere af alle Linux-distributioner bør være klar over de risici, der er forbundet med at installere software fra depoter, der ikke vedligeholdes direkte af deres direkte vedligeholdere. I nogle tilfælde har de ikke bære samme engagement og ansvar, og det er langt mere sandsynligt, at en malware-infektion kan spredes og kan ikke behandles i tide.

Note: Artiklen er blevet opdateret med en tidslinje over begivenhederne.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig:
TwitterGoogle Plus

16 Kommentarer

  1. somebob

    Så erm listen over pakker berørte kunne være rart i omfatte.

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Hey somebob,

      Jeg fulgte hændelsen på den officielle Arch linux mailingliste og de nævnte pakker er “libvlc.git” og “acroread.git”. Udviklerne angiver, at to andre pakker foruden “acroread” er blevet manipuleret, en senere email nævnt “libvlc”.

      Kig på linket i artiklen for at få adgang til diskussion, hvis du er interesseret i, hvordan holdet håndterede situationen i detaljer.

      Svar
  2. neithere

    Er ikke “eksplicit tillid” betyde den ønskede adfærd, dvs.. en brugers informeret beslutning om en given pakke, hellere end “implicitte tillid”, dvs.. manglen på brugerens beslutning om en bestemt pakke, men en generel tillid til dem alle?

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Du har nok ret!

      Svar
  3. ingen

    Nogen var bare spørgsmålstegn ved libvlc kilde. Hvis du læser de senere e-mails blev det påpeget, at webadressen er en del af pacman-filspejl-listen.

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Tak for at præcisere dette.

      Svar
  4. Marcin Mikołajczak

    Sandsynligvis hver enkelt AUR hjælper informerer os, at vi skal læse PKGBUILDs, så bliver inficeret med malware på dette lag betyder, at nogen ikke behandler sikkerhed alvorligt ...

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Rigtigt, forhåbentlig denne hændelse vil bidrage til at øge bevidstheden.

      Svar
  5. Roel Brook

    6 minutter er en temmelig god responstid.

    Mit gæt ville være outputtet kunne bruges til en mere målrettet angreb mod de mere kraftfulde maskiner. Hvis du kan fortælle de fleste af maskinerne med 32 CPU-kerner har nogle pakken installeret, du vide, hvilken en du skal kapre næste.

    Det er ikke så meget en tillid til AUR systemet selv. Det er mere tillidsfuld vedligeholderens(s). Når en pakke skifter vedligeholder, du bør være midlertidig på vagt.

    Ville være en god tilføjelse til youart.

    Svar
    1. Martin Beltov (Indlæg forfatter)

      AUR betroede brugere er awesome IMHO!

      Svar
  6. Condor

    Derfor, hvorfor du måske ønsker at kontrollere PKGBUILD nu og da, før du installerer eller opgraderer AUR-software. Bruger-vedligeholdt depoter kan undertiden holde pakker, der blev bygget af Æsler, no shit Sherlock!

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Rigtigt, men ikke alle kan forstå de variabler og kode i PKGBUILD filer.

      Svar
  7. KAGE

    Det er derfor jeg kan anbefale at bruge “trizen” løbet “yoghurt”: Jeg får alle de oplysninger først. (de gjorde også deres flygter rutiner højre).

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Tak for anbefalingen, Jeg har altid brugt “yoghurt” som jeg er vant til det.

      Svar
  8. Phoenix591

    Rigtigt, men det er ligetil bash koncentreret næsten udelukkende i en enkelt fil (Jeg foretrækker det til debian-format i den forbindelse), og den eneste officielle retning på, hvordan du bruger AUR har haft pæne røde advarsler siger check for potentielt skadelig kode (og hvis du er usikker bede om thr fora og / eller postliste) årevis

    Svar
    1. Martin Beltov (Indlæg forfatter)

      Jeg er enig, Arch Linux bruger samfund er meget pålidelig. Den AUR repository er awesome, da det indeholder mange pakker, der ikke kan indgå i de vigtigste repos.

      Wikien giver en detaljeret oversigt over, hvordan det er lykkedes, Jeg håber, at “acroread tilfælde” vil sætte de nødvendige advarselslamper til nye brugere i at håndtere de brugerdefinerede vedligeholdt pakker med større omhu.

      KAGE indsendt en kommentar her om, at den “trizen” hjælpeprogram viser detaljeret PKGBUILD info som standard.

      Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...