Malware no repositorio AUR Arch Linux

Malware encontrado no repositório (não oficial) AUR do ArchLinux.

O malware contra o GNU / Linux ainda não é muito comum, mas é algo que vem aumentando há algum tempo e não afeta apenas as tecnologias da Canonical, como o Snap , mas distribuições e tecnologias menos populares também não estão livres de problemas.

Conforme relatado pelo Linux Uprising , em 7 de junho deste ano foi encontrado um pacote AUR que foi modificado com código malicioso , algo que teria que lembrar os usuários de que deveriam verificar os pacotes que são gerados antes de instalá-los.

Para aqueles que estão perdidos, um AUR (Arch User Repository) é um repositório promovido por usuários da comunidade Arch Linux, que contém descrições de pacotes chamados “PKGBUILD” que permitem que você compile um pacote a partir do código-fonte com ” makepkg “e depois instalá-lo usando Pacman. No entanto, apesar de ser muito útil, não devemos esquecer que o AUR é conteúdo criado pelos usuários, de modo que os gerados através deles nunca devem ser tratados como material seguro, saiba como usar o AUR.

O pacote AUR com o código malicioso foi marcado como órfão, mas em 7 de junho foi atualizado por um usuário chamado Xeactor para incluir um comando “curl” para baixar um script do Pastebin. Em seguida, esse script baixou outro e instalou uma unidade do systemd para agendar uma execução periódica. Após a descoberta deste AUR modificado para fins maliciosos, dois outros repositórios do mesmo tipo atualizados com o mesmo propósito foram descobertos. Além disso, como é conhecido no Reddit , o Xeactor também publicou pacotes com mineradores maliciosos para possivelmente tentar implementá-los nas instalações do Arch Linux .

No código malicioso encontrado nos pacotes do AUR, ele não parecia ser especialmente prejudicial, já que estava tentando extrair informações do sistema , incluindo o ID da máquina, a saída produzida pelos comandos “uname -a” e “systemctl list-units” , Informações da CPU e informações do Pacman.

No entanto, uma falha causada pela chamada para uma função que não existe faz com que o processo não seja concluído, já que o programador coloca o upload em vez do uploader, nome estabelecido na declaração. Falha acidental ou estamos diante de hackers inexperientes? Nos scripts, a chave pessoal da API do Pastebin também foi colada em texto simples, o que mostra que os programadores por trás disso não têm muita ideia. Depois de descobrir esses repositórios maliciosos, a comunidade Arch Linux decidiu suspender a conta vinculada e remover os pacotes mal-intencionados .

Embora o Windows seja o sistema operacional mais assediado (apesar do crescimento do Android nesse sentido), o malware não entende realmente os sistemas operacionais. Usuários GNU / Linux tendem a confiar excessivamente na segurança oferecida pelo sistema, quando a própria pasta pessoal é exposta a ataques como o ransomware, que não necessariamente precisa danificar ou atingir arquivos do sistema.

Recentemente outro problema afetou comunidade Linux, os repositório do GitHub do Gentoo foram invadidos por “Crackers” que adulteram o código do sistema, incluindo linhas que podiam deletar arquivos e afetar todo o sistema. O problema foi descoberto rapidamente e resolvido em poucas horas. Mais detalhes em gentoo.org.

Sempre confie em repositórios oficiais das distribuições, na caso do ArchLinux o “Pacman”, analise bem os pacotes de repositórios não oficias, para não cair em ciladas.

Fonte (com modificações): Muylinux.com