Arch Linux AUR Repository gevonden om malware

Arch Linux AUR Repository gevonden om malware

De Arch Linux-gebruiker onderhouden software repository genaamd AUR is gevonden malware hosten. De ontdekking werd gedaan na een verandering in een van de installatie-instructies pakket werd gemaakt. Dit is nog een incident dat toont dat Linux-gebruikers niet expliciet vertrouwen zouden door de gebruiker gecontroleerde repositories.

AUR-gebruikers-beheerde Arch Linux Repository verontreinigd Malware




Linux-gebruikers van alle uitkeringen hebben een belangrijke waarschuwing niet expliciet vertrouwen door de gebruiker het uitvoeren van software repositories na het laatste incident in verband met Arch Linux ontvangen. gebruiker onderhouden van het project AUR pakketten (wat staat voor “Arch gebruiker Repository”) bleken malwarecode gastheer in verschillende gevallen. Gelukkig is er een code analyse in staat was om de wijzigingen tijdig te ontdekken.

De security onderzoek toont aan dat laat zien dat een kwaadwillende gebruiker met de naam nick xeactor gewijzigd in juni 7 een zwevende pakket (software zonder een actieve onderhouder) genoemd acroread. De wijzigingen omvatten een krul script dat downloads en loopt een script van een externe site. Dit installeert een hardnekkige software die reconfigureert systemd teneinde periodiek starten. Hoewel het lijkt erop dat ze niet een ernstige bedreiging voor de veiligheid van de geïnfecteerde gastheren, scripts kunnen worden gemanipuleerd op elk moment willekeurige code omvatten. Twee andere pakketten werden gemodificeerd op dezelfde wijze.

Verwante Story: Gentoo Linux GitHub gehackt via Password Raden

Na de ontdekking alle gevaarlijke gevallen werden verwijderd en het gebruikersaccount opgeschort. Uit het onderzoek blijkt dat de uitgevoerde scripts omvatte een data harvesting component die de volgende gegevens ophaalt:

  • machine ID.
  • De uitgang van uname -a.
  • CPU Information.
  • Pacman (package management tool) Informatie.
  • De uitgang van systemctl list-eenheden.

De geoogste informatie zou worden overgebracht naar een document Pastebin. De AUR team ontdekte dat de scripts bevatte de private API-sleutel waaruit blijkt dat dit waarschijnlijk werd gedaan door een onervaren hacker. Het doel van het systeem informatie blijft onbekend.




Het bevestigde lijst van de getroffen pakketten omvat de volgende AUR vermeldingen:

  • acroread 9.5.5-8
  • Balz 1.20-3
  • miner gate 8.1-2

Er zijn verschillende hypothesen die op dit moment mogelijk worden beschouwd. Een reddit user (xanaxdroid_) genoemde online dat “xeactor” heeft verschillende cryptogeld mijnwerker pakketten waaruit blijkt dat infectie met hen was een waarschijnlijke volgende stap geplaatst. De verkregen informatie over het systeem kan worden gebruikt om een ​​generieke mijnwerker instantie die compatibel met de meeste van de besmette gastheren zou kiezen. Het andere idee is dat de naam nick behoort tot een hacker groep die de geïnfecteerde gastheren met ransomware of andere geavanceerde virussen kunnen richten.

Het al dan niet Linux-gebruikers gebruiken Arch Linux moeten ze dubbel te controleren of een door de gebruiker onderhouden repositories die ze gebruiken betrouwbaar zijn. Dit incident toont eens te meer dat de veiligheid niet kan worden gegarandeerd. Een opmerking van Giancarlo Razzolini (een Arch Linux vertrouwde gebruiker) leest die expliciet vertrouwen AUR en het gebruik van hulptoepassingen is geen goede beveiliging praktijken. In reactie op de mailing list kondigde hij aan postte het volgende antwoord:

Ik ben verbaasd dat
dit soort domme pakket overname en de introductie van schadelijke software niet vaker gebeuren.

Dit is waarom we aandringen gebruikers altijd de PKGBUILD downloaden van de AUR, inspecteren en
bouwen zelf. Helpers dat alles automatisch te doen en de gebruikers die niet betalen
aandacht, *zal * problemen hebben. Je moet helpers nog meer te gebruiken op uw risico dan
de AUR zelf.

Chronologie van Arch Linux AUR Incident Response

  • zo Jul 8 05:48:06 UTC 2018 - Initial Report.
  • zo Jul 8 05:54:58 UTC 2018 - Account opgeschort, plegen bekeerd tot het gebruik van Trusted gebruiker privileges.
  • zo Jul 8 06:02:08 UTC 2018 - De aanvullende pakketten werden vastgelegd door de AUR team.

Gebruikers van alle Linux-distributies moeten zich terdege bewust van de risico's verbonden aan het installeren van software van repositories die niet rechtstreeks door hun directe beheerders onverlet laten. In sommige gevallen hebben ze niet dezelfde inzet en verantwoordelijkheid te dragen en het is veel waarschijnlijker dat een malware-infectie kan verspreiden en kunnen niet tijdig worden aangepakt.

Aantekening: Het artikel is bijgewerkt met een chronologie van de gebeurtenissen.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
TjilpenGoogle Plus

16 Reacties

  1. somebob

    Dus erm de lijst met pakketten getroffen mooi in onder andere zou kunnen zijn.

    1. Martin Beltov (Bericht Auteur)

      Hey somebob,

      Ik volgde het incident op de officiële Arch Linux mailing list en de genoemde pakketten zijn “libvlc.git” en “acroread.git”. De ontwikkelaars stellen dat twee andere pakketten naast “acroread” zijn gemanipuleerd, een latere e-mail vermeld “libVLC”.

      Kijk naar de link in het artikel om toegang te krijgen tot de discussie als je geïnteresseerd bent in hoe het team met de situatie in detail zijn.

  2. neithere

    Maakt niet “expliciete vertrouwen” : het gewenste gedrag, dat wil zeggen. weloverwogen beslissing van een gebruiker over een bepaald pakket, liever dan “impliciete vertrouwen”, dat wil zeggen. het ontbreken van de beslissing van de gebruiker met betrekking tot een bepaald pakket, maar een algemeen vertrouwen om ze allemaal?

    1. Martin Beltov (Bericht Auteur)

      Ik denk dat je gelijk hebt!

  3. niemand

    Iemand was net vraagtekens bij de libVLC bron. Als u het later e-mails werd erop gewezen gelezen dat de url is onderdeel van pacman-mirrorlijst.

    1. Martin Beltov (Bericht Auteur)

      Bedankt voor de verduidelijking van deze.

  4. Marcin Mikołajczak

    Waarschijnlijk een ieder AUR helper informeert ons dat we PKGBUILDs moeten lezen, zo wordt geïnfecteerd door malware op deze laag betekent dat iemand de beveiliging niet serieus te behandelen ...

    1. Martin Beltov (Bericht Auteur)

      waar, hopelijk dit incident zal helpen om de bewustwording.

  5. Roel Brook

    6 minuten is een vrij goede responstijd.

    Mijn gok zou de uitgestuurd kan worden gebruikt voor een meer gerichte aanval tegen de zwaardere machines. Als u het grootste deel van de machines kan vertellen met 32 CPU-cores hebben sommige pakket geïnstalleerd, je weet welke je vervolgens moet kapen.

    Het is niet zozeer een vertrouwen in de AUR systeem zelf. Het is meer vertrouwen de onderhouder(s). Als een pakket schakelt onderhouder, je moet tijdelijk op hun hoede te zijn.

    Zou een mooie aanvulling op youart zijn.

    1. Martin Beltov (Bericht Auteur)

      DE AUR vertrouwde gebruikers zijn geweldig IMHO!

  6. Condor

    Dus waarom wilt u misschien de PKGBUILD zo nu en dan te controleren voordat installeren of upgraden AUR software. Door de gebruiker onderhouden repositories kan soms houden pakketten die werden gebouwd door jackasses, geen stront Sherlock!

    1. Martin Beltov (Bericht Auteur)

      waar, maar niet iedereen kan de variabelen en code in de PKGBUILD bestanden te begrijpen.

  7. CAKE

    Dat is waarom ik kan aanraden met behulp van “trizen” over “yoghurt”: Ik krijg alle informatie die eerste. (Ook deden zij hun ontsnappen routines recht).

    1. Martin Beltov (Bericht Auteur)

      Bedankt voor de aanbeveling, Ik heb altijd gebruikt “yoghurt” zoals ik aan gewend.

  8. Phoenix591

    waar, maar het is eenvoudig dreun richtte zich vooral in een enkel bestand (Ik heb het liever veel te debian formaat in dat opzicht), en de enige officiële richting over hoe de AUR gebruiken heeft mooie rode waarschuwingen zeggen cheque van mogelijk schadelijke code had (en als onzeker vragen op thr forums en / of mailing list) voor jaren

    1. Martin Beltov (Bericht Auteur)

      Ik ben het eens dat de Arch Linux gebruiker gemeenschap is zeer betrouwbaar. De AUR repository is geweldig als het vele pakketten die niet kunnen worden opgenomen in de belangrijkste repo's bevat.

      De wiki geeft een gedetailleerd overzicht van hoe het wordt beheerd, Ik hoop dat de “acroread case” zal de nodige waarschuwingslampjes voor nieuwe gebruikers in de behandeling van de door de gebruiker onderhouden pakketten met meer zorg.

      CAKE postte een commentaar waarin staat dat de “trizen” helper applicatie toont gedetailleerde PKGBUILD info standaard.

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...