přejít na obsah přejít na navigaci

Linux E X P R E S, V užívateľskom repozitári pre Arch Linux sa našiel malware

Cimatron

V užívateľskom repozitári pre Arch Linux sa našiel malware

arch_linux.png

Arch User Repository (skrátene AUR) je repozitár balíčkov spravovaný výhradne komunitou pre používateľov Arch Linuxu. Presnejšie AUR umožňuje kompiláciu balíčkov priamo zo zdroja a ich následnú inštaláciu cez pacman. Nedávno sa v AUR našiel malware a to nie len v prípade jedného balíčka.


Užívateľ vystupujúci pod prezývkou xeactor modifikoval balíček s názvom acroread a vložil do neho curl skript, ktorý sťahuje a spúšťa iný skript z externej webstránky. Ten následne inštaluje software, ktorý prekonfiguruje systemd tak, aby sa spúšťal v pravidelných intervaloch. Aj keď sa tento konkrétny prípad nemusí javiť ako seriózna hrozba, ukázalo sa, že za pomoci skriptov sa dokáže vkladať škodlivý kód priamo do balíčkov v AUR a to samo o sebe predstavuje veľké bezpečnostné riziko. Hoci bolo voči všetkým prípadom zakročené, škodlivý kód vymazaný a užívateľský účet spojený s touto aktivitou zablokovaný, pri ďalšej analýze sa ukázalo že niektoré škodlivé skripty boli určené pre zber údajov a to konkrétne Machine ID, výstupné údaje z príkazov „uname -a“ a „systemctl list-units“, informácie o CPU a informácie z pacmanu. Tieto informácie boli následne odosielané do dokumentu na stránke Pastebin. Všetky balíčky, v ktorých bol nájdený malware sú acroread 9.5.5-8, balz 1.20-3 a minergate 8.1-2. Kolujú rôzne špekulácie o dôvodoch prečo k infikovaniu škodlivými skriptami došlo. Zmienený užívateľ xeactor vraj odoslal do repozitára niekoľko balíčkov, ktoré mali za účel ťažiť kryptomeny a tak sa predpokladá, že práve ťažba kryptomien mohla byť najpravdepodobnejší účel.

Používateľom Arch Linuxu sa odporúča zvážiť, či užívateľmi spravované repozitáre, ktoré používajú sú dôveryhodné. Tento problém je však výstrahou nie len pre používateľov Arch Linuxu, ale pre všetkých používateľov Linuxu, ktorí pristupujú k neovereným, neoficiálnym, respektíve užívateľmi spravovaným repozitárom a iným zdrojom softvéru.

Zdroj:
https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/

Nahoru

(Jako ve škole)
 

Příspěvky

V užívateľskom repozitári pre Arch Linux sa našiel malware
dosť skoro :D 26. 07. 2018, 12:58:45
Odpovědět  Odkaz 
Dosť skoro. :D :D :D
Je skôr udivujúce, že sa o to doteraz nik nepokúsil.
Tie informácie nemali byť ako odoslané. Druhý skript bol nefunkčný. Takže boli iba dva. ;)
Používateľom Arch Linuxu sa vždy odporúčalo čítať PKGBUILD. Čo je jednoduchá kontrola toho, či je inštalovaný balíček v poriadku. Stačí si dávať pozor, či neobsahuje príkaz, pomocou ktorého sa dajú sťahovať nejaké externé záležitosti. PPA či SNAP sú na tom podstatne horšie.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Ivan Kmeťo


  • Distribuce: Debian, openSUSE, OpenBSD
  • Grafické prostředí: Xfce



Public Relations

Domény a nepřeberné množství internetových adres s možností jejich zneužití

dnnsecNepropásněte sérii webinářů zaměřených na aktuální bezpečnostní trendy a jednotnou správu zabezpečení vaše IT – každé pondělí a zdarma.
S doménami přijde do kontaktu naprosto každý uživatel internetu, ačkoliv si to asi neuvědomuje. Už jenom samotné hledání na internetu je spojené s doménami, o nakupování v internetových obchodech ani nemluvě. Věděli jste však, že domény mohou být poměrně jednoduše napadeny?

Pokračování ...


EDU Trainings

Redakční blog

Pavel Fric

Pavel Fric, 21. srpen

Sayonara Player 1.5.1

Přehrávač, jak má být. Poslední dobou vývoj šlape


Pavel Fric

Pavel Fric, 26. leden

MuseScore 3

První aktualizace třetí řady notačního editoru MuseScore


Redakce

Redakce, 21. prosinec

Pište pro LinuxEXPRES

Baví vás Linux? Pište o něm, není to nic těžkého. LinuxEXPRES hledá nové autory.


Všechny blogy »

SOPHOS - hacking webinar 2