El repositorio de software mantenida por el usuario de Linux del arco llamado AUR se ha encontrado para alojar software malintencionado. El hallazgo se produjo después de que se realice un cambio en una de las instrucciones de instalación del paquete. Este es otro incidente que muestra que los usuarios de Linux no deben confiar explícitamente en los repositorios controlados por el usuario.
AUR mantenidas por el usuario de Arch Linux Repositorio contaminado con malware
Los usuarios de Linux de todas las distribuciones han recibido una importante advertencia para no confiar explícitamente en los repositorios de software a ejecutar por el usuario tras el último incidente relacionado con Arch Linux. mantenidas por el usuario del proyecto paquetes de AUR (que significa “Arco Repositorio de usuario”) se ha encontrado que el anfitrión de código malicioso en varios casos. Afortunadamente, un análisis de código era capaz de descubrir las modificaciones a su debido tiempo.
Los programas de investigación de seguridad que muestra que un usuario malicioso con el nombre de Nick xeactor modificado en junio 7 un paquete huérfano (software sin un mantenedor activo) llamada acroread. Los cambios incluyen una secuencia de comandos rizo que descarga y ejecuta un script desde un sitio remoto. Esto instala un software persistente que reconfigura systemd con el fin de iniciar periódicamente. Aunque parece que no son una amenaza grave para la seguridad de los huéspedes infectados, las secuencias de comandos pueden ser manipuladas en cualquier momento para incluir código arbitrario. Otros dos paquetes fueron modificados de la misma manera.
Tras el descubrimiento se eliminaron todos los casos peligrosos y la cuenta de usuario suspendido. La investigación revela que los scripts ejecutados incluyeron una la recolección de datos componente que recupera la siguiente información:
- Identificador de máquina.
- La salida de uname.
- información de la CPU.
- Pacman (utilidad de gestión de paquetes) Información.
- La salida de list-unidades systemctl.
La información recolectada fue para ser transferido a un documento de Pastebin. El equipo AUR descubrió que las secuencias de comandos contenían la clave de API privada, que muestra que este fue probablemente hecha por un hacker sin demasiada experiencia. Se desconoce el propósito de la información del sistema.
actualización de agosto 2018 – Análisis de paquetes de malware
Como se mencionó antes hemos actualizado el artículo con la información más reciente acerca de las secuencias de comandos y sus efectos en el sistema de destino. Hemos sido capaces de obtener información detallada sobre los guiones’ operación.
El script de implementación inicial se ha encontrado que contienen una archivo de configuración systemd que se suma una presencia persistente en el ordenador. Esto hace que el servicio de inicio para iniciar automáticamente la secuencia de comandos cada vez que se inicia el equipo. Está programado para descargar el script de descarga que descarga y ejecuta un archivo malicioso.
Se llama la script de carga que llama a varios comandos que cosechan los siguientes datos:
- Identificador de máquina
- Datos
- Información del sistema
- Información del paquete
- Módulos de Información del Sistema
Esta información se reporta a continuación, a la cuenta en línea Pastebin.
El lista confirmada de paquetes afectados incluye las siguientes entradas AUR:
- acroread 9.5.5-8
- Balz 1.20-3
- puerta minero 8.1-2
Hay varias hipótesis que se consideran actualmente como sea posible. Un usuario reddit (xanaxdroid_) mencionada en línea que “xeactor” ha publicado varios paquetes criptomoneda minero lo que demuestra que la infección con ellos fue el siguiente paso probable. El sistema de información obtenida puede ser utilizada para elegir una instancia de la minera genérico que sería compatible con la mayoría de los huéspedes infectados. La otra idea es que el apodo pertenece a un grupo de hackers que pueden apuntar a los huéspedes infectados con virus u otros ransomware avanzada.
Si los usuarios de Linux utilizan Arch Linux se debe revisar si los repositorios mantenidas por los usuarios que utilizan son dignos de confianza. Este incidente muestran una vez más que la seguridad no puede garantizarse. Un comentario hecho por Giancarlo Razzolini (un usuario de Linux del arco de confianza) lee que confiar explícitamente AUR y el uso de aplicaciones de ayuda no es una buena práctica de seguridad. En respuesta a la lista de correo anunciado que publicado la siguiente respuesta:
Me sorprende que
este tipo de toma de control del paquete tontas e introducción de malware no sucede más a menudo.Es por esto que insistimos usuarios siempre descarga el PKGBUILD de la AUR, inspeccionarlo y
construirlo ellos mismos. Ayudantes que hacen de todo automáticamente y los usuarios que no pagan
atención, ** se tienen problemas. Debe utilizar ayudantes más aún en el riesgo de
la propia AUR.
Cronología de Arch Linux AUR respuesta a incidentes
- dom Jul 8 05:48:06 UTC 2018 - Reporte inicial.
- dom Jul 8 05:54:58 UTC 2018 - Cuenta suspendida, comprometerse cambiado de nuevo el uso de privilegios de usuarios de confianza.
- dom Jul 8 06:02:08 UTC 2018 - Los paquetes adicionales se fijaron por el equipo de AUR.
Los usuarios de todas las distribuciones de Linux, deben ser conscientes de los riesgos asociados con la instalación de software desde los repositorios que no son mantenidos directamente por sus mantenedores directos. En algunos casos no llevan el mismo compromiso y la responsabilidad y es mucho más probable que una infección de malware puede extenderse y no pueden ser dirigidas a su debido tiempo.
Nota: El artículo ha sido actualizado con una cronología de los acontecimientos.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme:
Así erm la lista de los paquetes afectados podría estar bien en incluir.
Hey somebob,
He seguido el incidente en la lista de correo linux oficial de Arco y los paquetes mencionados son “libvlc.git” y “acroread.git”. Los desarrolladores afirman que los otros dos paquetes, además de “acroread” han sido manipulados, un correo electrónico más tarde mencionado “libvlc”.
Mira el enlace del artículo para acceder a la discusión si usted está interesado en cómo el equipo manejó la situación en detalle.
no hace “confianza explícita” significa el comportamiento deseado, es decir. decisión informada de un usuario sobre un determinado paquete, más bien que “confianza implícita”, es decir. la falta de decisión del usuario con respecto a un paquete en particular, sino una confianza general, a todos ellos?
Supongo que estas en lo correcto!
Alguien estaba cuestionando la fuente libvlc. Si usted lee los mensajes de correo electrónico más tarde, se señaló que la url es parte de pacman-mirrorlist.
Gracias por aclarar este.
Probablemente cada uno ayudante AUR nos informa que debemos leer PKGBUILDs, por lo que están infectados por el malware en esta capa significa que alguien no trata en serio la seguridad ...
Cierto, esperemos que este incidente le ayudará a aumentar la conciencia.
6 minutos es un buen tiempo de respuesta.
Mi conjetura sería la salida podría ser utilizado para un ataque más dirigida contra las máquinas más potentes. Si usted puede decir la mayoría de las máquinas con las 32 núcleos de CPU han instalado algún paquete, usted sabe que uno debe secuestrar al lado.
No es tanto una confianza en el sistema en sí AUR. Es más confianza en el mantenedor(s). Cuando un paquete conmuta mantenedor, usted debe ser temporal en guardia.
Sería una buena adición a youart.
AUR confiaba en mi humilde opinión son usuarios impresionante!
Por lo tanto, por qué es posible que desee comprobar el PKGBUILD de vez en cuando antes de instalar o actualizar software AUR. repositorios mantenidos por el usuario a veces pueden almacenar paquetes que fueron construidas por burros, sin Sherlock mierda!
Cierto, pero no todos pueden entender las variables y códigos en los archivos PKGBUILD.
Es por eso que puedo recomendar el uso de “trizen” por encima “yogur”: Consigo toda la información de primera. (También lo hicieron sus rutinas que escapan a la derecha).
Gracias por la recomendación, He utilizado siempre “yogur” ya que estoy acostumbrado a ella.
Cierto, pero es sencillo fiesta concentrada casi en su totalidad en un solo archivo (Me gusta mucho más a formato Debian en ese sentido), y la única dirección oficial sobre cómo utilizar el AUR ha tenido buenas advertencias rojas diciendo cheque de código potencialmente malicioso (y si no está seguro pregunte en los foros de Thr y / o lista de correo) durante años
Estoy de acuerdo en que la comunidad de usuarios de Arch Linux es muy fiable. El repositorio AUR es impresionante, ya que contiene muchos paquetes que no se pueden incluir en los principales repositorios.
El wiki da una descripción detallada de cómo se logró, Espero que la “acroread caso” establecerá las luces de advertencia necesarias a los nuevos usuarios en el manejo de los paquetes mantenidas por los usuarios con mayor cuidado.
PASTEL publicado un comentario aquí que indica que el “trizen” aplicación de ayuda muestra información detallada PKGBUILD por defecto.