Archリポジトリ(AUR)で見つかったマルウェア

マルウェア

数日前 マルウェアが検出されました または、Arch Linuxディストリビューションの有名なリポジトリ、特にArch UserRepositoryまたは AUR それが知られているように。 そして、それは新しいことではありません。他の機会に、Linuxディストリビューションとソフトウェアパッケージがホストされている特定のサーバーを攻撃して、悪意のあるコードやバックドアでそれらを変更し、ユーザーが気付かないようにチェックサムを変更したこともあります。この攻撃と彼らが彼らのコンピュータに安全でない何かをインストールしていたことについて。

さて、今回はAURリポジトリにあったので、この悪意のあるコードは、このパッケージマネージャーをディストリビューションで使用したことのある一部のユーザーに感染した可能性があります。 悪意のあるコード。 AURがコンパイルおよびインストールするために提供するすべての機能にもかかわらず、パッケージはインストール前に検証されている必要があります。 パッケージ そのソースコードから簡単に、それは私たちがそのソースコードを信頼しなければならないという意味ではありません。 したがって、特に重要なサーバーまたはシステムのsysadminとして作業している場合は、すべてのユーザーがインストールする前にいくつかの予防措置を講じる必要があります...

実際、AUR Webサイト自体は、コンテンツはユーザー自身の責任の下で使用する必要があり、ユーザーがリスクを負う必要があると警告しています。 そして、このマルウェアの発見は、この場合、このようにそれを証明します アクロリード は7月XNUMX日に変更されました。孤立していてメンテナがいないパッケージは、ペーストビンからスクリプトコードを自動的にダウンロードするcurlコマンドを含むxeactorというユーザーによって変更され、別のスクリプトが起動されました。次に、systemdユニットのインストールを生成して、後で別のスクリプトを実行できるようにしました。

また、他のXNUMXつのAURパッケージが、違法な目的で同じように変更されているようです。 現時点では、リポジトリの責任者が変更されたパッケージを削除し、それを行ったユーザーのアカウントを削除しているため、残りのパッケージは当面は安全であると思われます。 また、 影響を受けた人々の静けさ、含まれている悪意のあるコードは、影響を受けるマシンで実際に深刻なことは何もしませんでした。被害者のシステムから特定の情報をロードしようとしただけでした(はい、スクリプトのXNUMXつでエラーが発生したため)。


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

コメントを最初に

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。