přejít na obsah přejít na navigaci

Linux E X P R E S, V užívateľskom repozitári pre Arch Linux sa našiel malware

Control

V užívateľskom repozitári pre Arch Linux sa našiel malware

arch_linux.png

Arch User Repository (skrátene AUR) je repozitár balíčkov spravovaný výhradne komunitou pre používateľov Arch Linuxu. Presnejšie AUR umožňuje kompiláciu balíčkov priamo zo zdroja a ich následnú inštaláciu cez pacman. Nedávno sa v AUR našiel malware a to nie len v prípade jedného balíčka.


reklama

Užívateľ vystupujúci pod prezývkou xeactor modifikoval balíček s názvom acroread a vložil do neho curl skript, ktorý sťahuje a spúšťa iný skript z externej webstránky. Ten následne inštaluje software, ktorý prekonfiguruje systemd tak, aby sa spúšťal v pravidelných intervaloch. Aj keď sa tento konkrétny prípad nemusí javiť ako seriózna hrozba, ukázalo sa, že za pomoci skriptov sa dokáže vkladať škodlivý kód priamo do balíčkov v AUR a to samo o sebe predstavuje veľké bezpečnostné riziko. Hoci bolo voči všetkým prípadom zakročené, škodlivý kód vymazaný a užívateľský účet spojený s touto aktivitou zablokovaný, pri ďalšej analýze sa ukázalo že niektoré škodlivé skripty boli určené pre zber údajov a to konkrétne Machine ID, výstupné údaje z príkazov „uname -a“ a „systemctl list-units“, informácie o CPU a informácie z pacmanu. Tieto informácie boli následne odosielané do dokumentu na stránke Pastebin. Všetky balíčky, v ktorých bol nájdený malware sú acroread 9.5.5-8, balz 1.20-3 a minergate 8.1-2. Kolujú rôzne špekulácie o dôvodoch prečo k infikovaniu škodlivými skriptami došlo. Zmienený užívateľ xeactor vraj odoslal do repozitára niekoľko balíčkov, ktoré mali za účel ťažiť kryptomeny a tak sa predpokladá, že práve ťažba kryptomien mohla byť najpravdepodobnejší účel.

Používateľom Arch Linuxu sa odporúča zvážiť, či užívateľmi spravované repozitáre, ktoré používajú sú dôveryhodné. Tento problém je však výstrahou nie len pre používateľov Arch Linuxu, ale pre všetkých používateľov Linuxu, ktorí pristupujú k neovereným, neoficiálnym, respektíve užívateľmi spravovaným repozitárom a iným zdrojom softvéru.

Zdroj:
https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/

Nahoru

(Jako ve škole)
 

Příspěvky

V užívateľskom repozitári pre Arch Linux sa našiel malware
dosť skoro :D 26. 07. 2018, 12:58:45
Odpovědět  Odkaz 
Dosť skoro. :D :D :D
Je skôr udivujúce, že sa o to doteraz nik nepokúsil.
Tie informácie nemali byť ako odoslané. Druhý skript bol nefunkčný. Takže boli iba dva. ;)
Používateľom Arch Linuxu sa vždy odporúčalo čítať PKGBUILD. Čo je jednoduchá kontrola toho, či je inštalovaný balíček v poriadku. Stačí si dávať pozor, či neobsahuje príkaz, pomocou ktorého sa dajú sťahovať nejaké externé záležitosti. PPA či SNAP sú na tom podstatne horšie.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Ivan Kmeťo


  • Distribuce: Debian, openSUSE, OpenBSD
  • Grafické prostředí: Xfce