Категория > Новости > В официальном репозитории Arch User Repository обнаружили малварь - «Новости»
В официальном репозитории Arch User Repository обнаружили малварь - «Новости»12-07-2018, 04:00. Автор: Петр |
В официальном пользовательском репозитории Arch Linux (Arch User Repository, AUR) нашли сразу три вредоносных пакета. Проблему обнаружили сами разработчики AUR. Дело в том, что в пользовательском репозитории любой желающий может перехватить контроль над «осиротевшими» проектами, которые были заброшены своими оригинальными разработчиками. В минувшие выходные пользователь xeactor таким образом перехватил контроль над пакетом acroread, исходно предназначенном для работы с файлами PDF в Arch Linux. Получив управление, xeactor внедрил в пакет вредоносный код, который загружал файл «~x» (VirusTotal, исходный код) с сайта ptpb.pw, — ресурса, похожего на Pastebin, где пользователи могут размещать текстовые данные. В итоге, загрузка пакета и выполнение файла ~x приводили к скачиванию и запуску еще одного файла: «~u» [VirusTotal, исходный код]. Однако загрузка ~u не являлась единственной задачей ~x, помимо этого ~x вносил изменения в systemd и добавлял таймер запуска ~u с интервалом 360 секунд. В свою очередь, сам ~u собирал данные о зараженных системах (протоколировались дата и время, ID машины, информация о CPU, детали Pacman, а также результат выполнения команд uname -a и systemctl list-units). Затем информация заливалась в файл Pastebin, используя кастомный API-ключ атакующего. Иной вредоносной активности выявлено не было, и разработчики предполагают, что успели поймать злоумышленника «с поличным» еще на стадии подготовки и сбора данных. На следующем этапе преступник, скорее всего, перешел бы к активным действиям, собрав достаточно статистики и выбрав наиболее подходящий вектор атак. Похожий вредоносный код был обнаружен еще в двух пакетах, над которыми недавно тоже поработал xeactor. В итоге заражены оказались:
В настоящее время изменения пакетов уже откатили (вредоносный код был активен лишь несколько часов), а аккаунт xeactor был заблокирован. Перейти обратно к новости |