Arch Linux AUR Repository Trouvé pour contenir des logiciels malveillants

Arch Linux AUR Repository Trouvé pour contenir des logiciels malveillants

Le dépôt de logiciel maintenu par l'utilisateur Arch Linux appelé AUR a été trouvé pour héberger des logiciels malveillants. La découverte a été faite après un changement dans l'une des instructions d'installation du paquet a été fait. Ceci est encore un autre incident qui met en vedette que les utilisateurs Linux ne doivent pas faire confiance explicitement les référentiels contrôlés par l'utilisateur.

AUR utilisateur Entretenu Arch Linux Repository avec Malware contaminés




Les utilisateurs de Linux de toutes les distributions ont reçu un avertissement important de ne pas faire confiance explicitement les dépôts de logiciels à la gestion utilisateur suivant le dernier incident lié à Arch Linux. L'utilisateur entretenu du projet paquets AUR (qui signifie « arc référentiel utilisateur ») ont été trouvés pour héberger code malveillant dans plusieurs cas. Heureusement, une analyse de code a pu découvrir les modifications en temps utile.

L'enquête de sécurité montre que montre qu'un utilisateur malveillant avec le nom nick xeactor modifié en Juin 7 un paquet orphelin (logiciel sans mainteneur actif) appelé acroread. Les modifications comprenaient un script que boucle téléchargements et exécute un script à partir d'un site distant. Il installe un logiciel persistant qui reconfigure systemd afin de commencer périodiquement. Bien qu'il semble qu'ils ne sont pas une menace sérieuse pour la sécurité des hôtes infectés, les scripts peuvent être manipulés à tout moment pour inclure du code arbitraire. Deux autres paquets ont été modifiés de la même manière.

histoire connexes: Gentoo Linux GitHub piraté par mot de passe Deviner

Suite à la découverte tous les cas dangereux ont été supprimés et le compte utilisateur suspendu. L'enquête révèle que les scripts exécutés comprenaient une la récolte de données composant qui extrait les informations suivantes:

  • ID de la machine.
  • La sortie de uname -a.
  • CPU information.
  • Pac-Man (utilitaire de gestion des paquets) Informations.
  • La sortie de systemctl liste unités.

Les informations récoltées devaient être transférés à un document Pastebin. L'équipe AUR a découvert que les scripts contiennent la clé API privée qui montre que cela a été probablement fait par un pirate inexpérimenté. Le but de l'information du système reste inconnu.

Mise à jour Août 2018 – Analyse Malware Packages

Comme mentionné précédemment, nous avons mis à jour l'article avec des informations plus récentes sur les scripts et leurs effets sur le système cible. Nous avons été en mesure d'obtenir des informations détaillées sur les scripts’ opération.

Le script de déploiement initial a été trouvé pour contenir une fichier de configuration systemd qui ajoute une présence persistante sur l'ordinateur. Cela rend le service d'initialisation pour démarrer automatiquement à chaque fois que le script l'ordinateur démarre. Il est programmé pour télécharger le script télécharger qui télécharge et exécute un fichier malveillant.

Il est appelé le script de téléchargement qui appelle plusieurs commandes qui récoltent les données suivantes:

  • ID de la machine
  • Données
  • système d'information
  • trousse d'information
  • Système d'information sur les modules

Ces informations sont ensuite transmises au Pastebin compte en ligne.




La liste confirmée des paquets concernés comprend les entrées suivantes AUR:

  • acroread 9.5.5-8
  • Balz 1.20-3
  • porte mineur 8.1-2

Il y a plusieurs hypothèses qui sont actuellement considérées comme possible. Un utilisateur de reddit (xanaxdroid_) mentionné en ligne “xeactor” a mis en ligne plusieurs paquets de mineur de ce qui montre que crypto-monnaie infection avec eux était une prochaine étape probable. Les informations du système obtenu peut être utilisé pour choisir une instance générique mineur qui serait compatible avec la plupart des hôtes infectés. L'autre idée est que le nom pseudo appartient à un groupe de pirates informatiques qui peuvent cibler les hôtes infectés par ransomware ou d'autres virus avancés.

Si oui ou non les utilisateurs de Linux utilisent Arch Linux, ils doivent vérifier si des dépôts maintenu par l'utilisateur qu'ils utilisent sont dignes de confiance. Ce spectacle incident une fois de plus que la sécurité ne peut être garantie. Un commentaire de Giancarlo Razzolini (un utilisateur de confiance Arch Linux) lit que faire confiance explicitement AUR et l'utilisation des applications d'aide ne sont pas une bonne pratique de sécurité. En réponse à la liste de diffusion a annoncé qu'il posté la réponse suivante:

Je suis surpris que
ce type de prise de contrôle de package stupide et l'introduction des logiciels malveillants ne se produit pas plus souvent.

Voilà pourquoi nous insistons utilisateurs toujours télécharger le PKGBUILD du AUR, inspecter et
construire eux-mêmes. Helpers qui font tout automatiquement et les utilisateurs qui ne paient pas
attention, *sera * ont des problèmes. Vous devez utiliser les aides encore plus à risque que
AUR lui-même.

Chronologie de Arch Linux AUR de réponse aux incidents

  • Dim Juil 8 05:48:06 UTC 2018 - Compte-rendu initial.
  • Dim Juil 8 05:54:58 UTC 2018 - Compte suspendu, engager rétrocédés à l'aide de confiance des privilèges de l'utilisateur.
  • Dim Juil 8 06:02:08 UTC 2018 - Les paquets supplémentaires ont été fixés par l'équipe AUR.

Les utilisateurs de toutes les distributions Linux devraient être bien conscients des risques associés à l'installation de logiciels à partir des référentiels qui ne sont pas entretenus directement par leurs mainteneurs directs. Dans certains cas, ils ne portent pas le même engagement et la responsabilité, et il est beaucoup plus probable qu'un logiciel malveillant peut se propager et ne peuvent pas être traitées en temps voulu.

Note: L'article a été mis à jour avec une chronologie des événements.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
GazouillementGoogle Plus

16 Commentaires

  1. somebob

    erm Ainsi, la liste des paquets concernés pourrait être agréable à inclure.

    1. Martin Beltov (Auteur de l'article)

      Hey somebob,

      J'ai suivi l'incident sur la liste de diffusion linux officiel Arch et les paquets mentionnés “libvlc.git” et “acroread.git”. Les développeurs affirment que deux autres paquets en plus “acroread” ont été manipulés, un e-mail plus tard mentionné “libvlc”.

      Regardez le lien dans l'article pour accéder à la discussion si vous êtes intéressé par la façon dont l'équipe a géré la situation en détail.

  2. neithere

    ne fonctionne pas “la confiance explicite” signifie le comportement souhaité, i.e. décision éclairée sur un paquet donné d'un utilisateur, plutôt que “confiance implicite”, i.e. l'absence de décision de l'utilisateur en ce qui concerne un ensemble particulier, mais une fiducie générale à tous?

    1. Martin Beltov (Auteur de l'article)

      Je suppose que vous avez raison!

  3. personne

    Quelqu'un questionnait juste la source de libvlc. Si vous lisez les e-mails plus tard, il a été souligné que l'URL fait partie de pacman-mirrorlist.

    1. Martin Beltov (Auteur de l'article)

      Merci pour cette clarification.

  4. Marcin Mikołajczak

    Probablement chaque une aide de AUR nous informe que nous devrions lire PKGBUILDs, afin d'être infecté par des logiciels malveillants à cette couche signifie que quelqu'un ne traite pas sérieusement la sécurité ...

    1. Martin Beltov (Auteur de l'article)

      Vrai, espérons-cet incident aidera à sensibiliser le public.

  5. Roel Brook

    6 minutes est un très bon temps de réponse.

    Je pense serait la sortie pourrait être utilisée pour une attaque plus ciblée contre les machines plus puissantes. Si vous pouvez dire la plupart des machines avec 32 cœurs de processeurs ont un certain paquet installé, vous savez que l'on vous devez pirater suivant.

    Ce n'est pas tellement confiance dans le système lui-même AUR. Il est plus confiant mainteneur(s). Quand un paquet mainteneur commute, vous devriez être temporaire en garde.

    Ce serait une belle addition à youart.

    1. Martin Beltov (Auteur de l'article)

      AUR utilisateurs de confiance sont à mon humble avis impressionnant!

  6. Condor

    Dès lors, pourquoi vous pouvez vérifier le PKGBUILD chaque maintenant et puis avant d'installer la mise à niveau ou logiciel AUR. dépôts entretenu utilisateurs peuvent parfois contenir des paquets qui ont été construits par baudets, pas Sherlock merde!

    1. Martin Beltov (Auteur de l'article)

      Vrai, mais pas tout le monde peut comprendre les variables et le code dans les fichiers PKGBUILD.

  7. CAKE

    Voilà pourquoi je peux recommander à l'aide “Trizen” plus de “yaourt”: Je reçois toutes les informations premier. (En outre, ils ont fait leurs routines s'échappant droit).

    1. Martin Beltov (Auteur de l'article)

      Merci pour la recommandation, J'ai toujours utilisé “yaourt” comme je suis habitué à ce.

  8. Phoenix591

    Vrai, mais il est bash simple concentrée presque entièrement dans un seul fichier (Je préfère de beaucoup au format debian à cet égard), et la seule direction officielle sur la façon d'utiliser le AUR a eu de belles avertissements rouges disant chèque de code potentiellement malveillant (et en cas de doute demander sur les forums Thr et / ou liste de diffusion) pendant des années

    1. Martin Beltov (Auteur de l'article)

      Je suis d'accord que la communauté des utilisateurs Arch Linux est très fiable. Le dépôt AUR est génial car il contient beaucoup de paquets qui ne peuvent pas être inclus dans les principales prises en pension.

      Le wiki donne un aperçu détaillé sur la façon dont il est géré, Je souhaite que la “acroread cas” définira les feux d'avertissement nécessaires aux nouveaux utilisateurs dans le traitement des paquets maintenus par l'utilisateur avec le plus grand soin.

      CAKE posté un commentaire ici indiquant que le “Trizen” application d'assistance affiche les informations PKGBUILD détaillées par défaut.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...