O repositório de software mantido pelo usuário Arch Linux chamado AUR foi encontrado para hospedam malware. A descoberta foi feita depois de uma mudança em uma das instruções de instalação do pacote foi feito. Este é mais um incidente que mostra que os usuários de Linux não deve confiar explicitamente repositórios controlados pelo usuário.
AUR User-Mantido Arch Linux Repository contaminado com malware
Os usuários do Linux de todas as distribuições têm recebido um grande aviso para não repositórios de software de gerência de usuários explicitamente confiança após o último incidente relacionados com o Arch Linux. manteve-usuário do projeto pacotes do AUR (que significa “Arch User Repository”) foram encontrados para hospedar código de malware em vários casos. Felizmente a análise de código foi capaz de descobrir as modificações em tempo útil.
Os shows de investigação de segurança, que mostra que um usuário malicioso com o nome de nick xeactor modificada em junho 7 um pacote órfão (software sem um mantenedor ativa) chamado acroread. As mudanças incluíram um script onda que baixa e executa um script a partir de um local remoto. Isso instala um software persistente que reconfigura systemd a fim de iniciar periodicamente. Embora pareça que eles não são uma séria ameaça para a segurança dos hospedeiros infectados, os scripts podem ser manipulados em qualquer momento para incluir um código arbitrário. Dois outros pacotes foram modificados da mesma maneira.
Na sequência da descoberta de todos os casos perigosas foram removidos e a conta de utilizador suspenso. A investigação revela que os scripts executados incluiu uma colheita de dados componente que recupera as seguintes informações:
- ID da máquina.
- A saída de uname -a.
- Informações CPU.
- Pacman (utilitário de gerenciamento de pacotes) Em formação.
- A saída de list-unidades systemctl.
As informações colhidas era para ser transferido para um documento Pastebin. A equipe AUR descobriu que os scripts continha a chave da API privada, que mostra que este foi provavelmente feito por um hackers inexperientes. A finalidade das informações do sistema permanece desconhecida.
atualização agosto 2018 – Malware pacotes de análise
Como mencionado antes de ter actualizado o artigo com informações mais recentes sobre os scripts e seus efeitos sobre o sistema de destino. Temos sido capazes de obter informações detalhadas sobre os scripts’ Operação.
O script implantação inicial foi encontrado para conter um arquivo de configuração systemd que adiciona uma presença persistente no computador. Isso faz com que o serviço de inicialização para iniciar automaticamente o script cada vez que o computador é iniciado. Ele está programado para baixar o roteiro de download que baixa e executa um arquivo malicioso.
É o chamado script de upload o que exige vários comandos que colhem os seguintes dados:
- ID da máquina
- Dados
- Informação do sistema
- Informações do pacote
- Sistema de Informação Modules
Esta informação é então informou à conta on-line Pastebin.
o lista confirmada de pacotes afetados inclui as seguintes entradas AUR:
- acroread 9.5.5-8
- balz 1.20-3
- portão mineiro 8.1-2
Há várias hipóteses que estão consideradas como possíveis. Um usuário reddit (xanaxdroid_) mencionado online que “xeactor” publicou vários pacotes mineiro criptomoeda o que mostra que a infecção com eles foi um próximo passo provável. O sistema de informação obtida pode ser usada para escolher um exemplo mineiro genérico que seria compatível com a maioria dos hospedeiros infectados. A outra idéia é que o nome nick pertence a um grupo de hackers que podem atingir os hospedeiros infectados com ransomware ou outros vírus avançados.
usuários se deve ou não usar Linux Arch Linux que deve verificar se todos os repositórios mantidos pelo usuário que eles usam são confiáveis. Este show incidente uma vez que a segurança não pode ser garantida. Um comentário feito por Giancarlo Razzolini (uma Arch Linux confiança do usuário) lê que confiar explicitamente AUR e usando aplicativos auxiliares não é uma prática boa segurança. Em resposta à lista de discussão anunciou que postou a seguinte resposta:
Eu estou surpreso que
este tipo de aquisição pacote de bobo e introdução de malware não acontece mais frequentemente.É por isso que insistimos usuários sempre baixar o PKGBUILD do AUR, inspecioná-lo e
construir por si próprios. Ajudantes que fazem tudo automaticamente e os usuários que não pagam
atenção, *vai ter problemas *. Você deve usar ajudantes, mais ainda, em seu risco do que
o próprio AUR.
Timeline do Arch Linux AUR Incident Response
- Dom Jul 8 05:48:06 UTC 2018 - Relatório inicial.
- Dom Jul 8 05:54:58 UTC 2018 - Conta suspensa, comprometer revertido usando privilégios de usuário confiável.
- Dom Jul 8 06:02:08 UTC 2018 - Os pacotes adicionais foram fixados pela equipe AUR.
Os usuários de todas as distribuições Linux deve estar bem ciente dos riscos associados à instalação de software a partir de repositórios que não são mantidos diretamente por seus mantenedores diretos. Em alguns casos, eles não têm o mesmo compromisso e responsabilidade e é muito mais provável que uma infecção por malware pode se espalhar e não podem ser tratadas no devido tempo.
Nota: O artigo foi atualizado com uma linha do tempo dos eventos.
Então, erm a lista de pacotes afetados poderia ser bom em incluir.
Hey somebob,
Segui o incidente no mailing list oficial do Arch Linux e os pacotes mencionados são “libvlc.git” e “acroread.git”. Os desenvolvedores afirmam que dois outros pacotes, além “acroread” tem sido manipulado, um e-mail mais tarde mencionado “libvlc”.
Olhada no link no artigo para acessar a discussão se você estiver interessado em como a equipe lidou com a situação em detalhes.
não “confiança explícita” significa o comportamento desejado, i.e. decisão informada de um usuário sobre um determinado pacote, ao invés de “confiança implícita”, i.e. a falta de decisão do usuário em relação a um pacote em particular, mas uma confiança geral a todos eles?
Eu acho que você está certo!
Alguém estava apenas questionando a fonte libvlc. Se você ler os e-mails posteriores Assinalou-se que o URL faz parte de pacman-mirrorlist.
Obrigado por esclarecer isso.
Provavelmente cada um ajudante informa AUR nós que devemos ler PKGBUILDs, assim sendo infectado por malware no este meios de camada que alguém não segurança tratar a sério ...
Verdade, espero que este incidente vai ajudar a aumentar a conscientização.
6 minutos é um tempo de resposta muito boa.
Meu palpite seria a saída poderia ser usado para um ataque mais direcionado contra as máquinas mais poderosas. Se você pode dizer a maioria das máquinas com 32 núcleos de CPU ter algum pacote instalado, você sabe qual deles você deve seqüestrar próxima.
Não é tanto uma confiança no sistema AUR si. É mais confiando o mantenedor(s). Quando um pacote de interruptores manutenção, você deve ser temporária de guarda.
Seria uma boa adição para youart.
O AUR usuários confiáveis são IMHO incrível!
Daí por que você pode querer verificar o PKGBUILD a cada momento e, em seguida, antes de instalar ou atualizar software AUR. repositórios mantidos pelo usuário pode, por vezes, manter os pacotes que foram construídas por jackasses, nenhuma merda Sherlock!
Verdade, mas nem todos podem compreender as variáveis e código nos arquivos PKGBUILD.
É por isso que eu posso recomendo usar “TRIZ” sobre “iogurte”: Eu obter todas as informações primeiro. (Também fizeram suas rotinas escapando direita).
Graças para a recomendação, Eu sempre usei “iogurte” como eu estou acostumado com isso.
Verdade, mas é o bash simples concentrada quase que inteiramente em um único arquivo (Eu prefiro muito mais para o formato debian a esse respeito), e a única orientação oficial sobre como usar o AUR tem bons avisos em vermelho dizendo verificar se há código potencialmente malicioso (e se não tiver certeza pergunte sobre thr lista de fóruns e / ou correio) por anos
Concordo que a comunidade de usuários Arch Linux é muito confiável. O repositório AUR é incrível, já que contém muitos pacotes que não podem ser incluídas nas principais repos.
O wiki dá uma visão detalhada de como ele é gerenciado, Espero que o “caso acroread” irá definir as luzes de advertência necessárias para novos usuários no manuseio dos pacotes mantidos pelo usuário com maior cuidado.
BOLO postou um comentário aqui afirmando que o “TRIZ” shows de aplicação de ajuda Informações detalhadas PKGBUILD por padrão.