Malware atopado no repositorio Arch (AUR)

malware

Hai uns días detectouse malware ou código malicioso no famoso repositorio da distribución Arch Linux, concretamente no repositorio de usuarios de Arch ou AUR como se sabe. E non é nada novo, xa vimos noutras ocasións como algúns ciberdelincuentes atacaban certos servidores onde se aloxaban distribucións e paquetes de software de Linux para modificalos con algún código malicioso ou portas traseiras e incluso modificaban as sumas de verificación para que os usuarios non tivesen coñecemento deste ataque e que instalaban algo inseguro nos seus ordenadores.

Ben, esta vez foi nos repositorios AUR, polo que este código malicioso podería infectar a algúns usuarios que usaron este xestor de paquetes na súa distribución e que contiñan que código malicioso. Os paquetes deberían ter sido verificados antes da instalación, xa que a pesar de todas as facilidades que ofrece AUR para compilar e instalar paquetes facilmente desde o seu código fonte, non significa que teñamos que confiar nese código fonte. Polo tanto, todos os usuarios deben tomar algunhas precaucións antes de instalar, especialmente se estamos a traballar como administradores de sistemas para un servidor ou sistema crítico ...

De feito, o propio sitio web de AUR advirte que o contido debe usarse baixo a propia responsabilidade do usuario, que debe asumir os riscos. E o descubrimento deste malware así o demostra, neste caso Acroread foi modificado o 7 de xullo, un paquete que quedou orfo e sen mantedor foi modificado por un usuario chamado xeactor que incluía un comando curl para descargar automaticamente un código de script desde un pastebin, que lanzou outro script que á súa vez xeraron un instalación dunha unidade systemd para que logo executaran outro script.

E parece que outros dous paquetes AUR foron alterados do mesmo xeito con fins ilícitos. Polo momento, os responsables da reposición eliminaron os paquetes modificados e eliminaron a conta do usuario que o fixo, polo que parece que o resto dos paquetes estarán a salvo polo momento. Ademais, para tranquilidade dos afectados, o código malicioso incluído non fixo nada serio nas máquinas afectadas, só intentou (si, porque un erro nun dos scripts evitou un mal maior) cargar determinada información do sistema da vítima.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.