В официальном репозитории Arch User Repository обнаружили малварь

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.362
37
20
#1
В официальном репозитории Arch User Repository обнаружили малварь



В официальном пользовательском репозитории Arch Linux (Arch User Repository, AUR) нашли сразу три вредоносных пакета.

Проблему обнаружили сами разработчики AUR. Дело в том, что в пользовательском репозитории любой желающий может перехватить контроль над «осиротевшими» проектами, которые были заброшены своими оригинальными разработчиками. В минувшие выходные пользователь xeactor таким образом перехватил контроль над пакетом acroread, исходно предназначенном для работы с файлами PDF в Arch Linux.

Получив управление, xeactor внедрил в пакет вредоносный код, который загружал файл «~x» (VirusTotal, исходный код) с сайта ptpb.pw, — ресурса, похожего на Pastebin, где пользователи могут размещать текстовые данные. В итоге, загрузка пакета и выполнение файла ~x приводили к скачиванию и запуску еще одного файла: «~u» [VirusTotal, исходный код].

Однако загрузка ~u не являлась единственной задачей ~x, помимо этого ~x вносил изменения в systemd и добавлял таймер запуска ~u с интервалом 360 секунд. В свою очередь, сам ~u собирал данные о зараженных системах (протоколировались дата и время, ID машины, информация о CPU, детали Pacman, а также результат выполнения команд uname -a и systemctl list-units). Затем информация заливалась в файл Pastebin, используя кастомный API-ключ атакующего.

Иной вредоносной активности выявлено не было, и разработчики предполагают, что успели поймать злоумышленника «с поличным» еще на стадии подготовки и сбора данных. На следующем этапе преступник, скорее всего, перешел бы к активным действиям, собрав достаточно статистики и выбрав наиболее подходящий вектор атак.

Похожий вредоносный код был обнаружен еще в двух пакетах, над которыми недавно тоже поработал xeactor. В итоге заражены оказались:
  • acroread 9.5.5-8;
  • balz 1.20-3;
  • minergate 8.1-2.

В настоящее время изменения пакетов уже откатили (вредоносный код был активен лишь несколько часов), а аккаунт xeactor был заблокирован.
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
326.133
Сообщения
344.651
Пользователи
23.044
Новый пользователь
haman

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
    Captain @ Captain: Батя в здание