Paquetes de software malicioso encontrados en ”Arch Linux User Repository” - Seguridad de la información

Breaking

Webs Amigas

miércoles, 11 de julio de 2018

Paquetes de software malicioso encontrados en ”Arch Linux User Repository”

Es un incidente más, en donde queda demostrado que no debe confiar planamente en repositorios de software controlados por el usuario.
Una de las distribuciones Linux más populares Arch Linux, ha extraído hasta tres paquetes AUR de repositorio de software mantenidos por el usuario después de que se descubriera que alojaba código malicioso.
Arch Linux es una distribución de GNU / Linux de uso general, la cual ha sido desarrollada de forma independiente, está compuesta predominantemente por software libre y de código abierto, y que fomenta la participación de la comunidad.
Además de repositorios oficiales como Arch Build System (ABS), los usuarios de Arch Linux también pueden descargar paquetes de software de otros repositorios, incluido AUR (Arch User Repository), un repositorio impulsado por la comunidad creado y administrado por usuarios de Arch Linux.
Como los paquetes AUR son contenido producido por el usuario, los administradores de Arch siempre sugieren a los usuarios de Linux que revisen cuidadosamente todos los archivos, especialmente PKGBUILD y cualquier archivo .install en busca de comandos maliciosos. Sin embargo, recientemente se ha encontrado que un repositorio de AUR aloja código de malware en varias instancias, incluido un visor de PDF.

Visor de PDF comprometido encontrado en Arch Linux AUR
El 7 de junio, un usuario malicioso apodado "xeactor" adoptó un paquete huérfano (software sin un mantenedor activo) llamado "acroread" que funciona como un visor de PDF y lo modificó para agregar código malicioso.
Según un compromiso de Git con el código fuente del paquete, xeactor agregó un código malicioso que descargaría un script curl que a su vez instalaría y ejecutaría un script desde un servidor remoto.
Este script instala software persistente que se entromete con "systemd" y lo reconfigura, y se ejecutará cada 360 segundos.
La investigación reveló que el script malicioso se diseñó para recopilar datos en los sistemas infectados para recuperar la siguiente información:
• Fecha y hora
• ID de la máquina
• Información de Pacman (utilidad de administración de paquetes)
• La salida del comando "uname-a"
• Información de CPU
• La salida del comando "systemctl list-units"

Los datos recopilados se publicarán en un documento Pastebin.
Afortunadamente, un análisis de código descubrió las modificaciones a su debido tiempo y reveló que las secuencias de comandos no parecían ser una amenaza grave, pero las cargas útiles pueden ser manipuladas por el atacante en cualquier momento para enviar código malicioso sofisticado.
Tan pronto como se descubrió esto, los mantenedores de AUR revierten los cambios realizados en el paquete, suspenden la cuenta de xeactor y también encuentran dos paquetes más que xeactor ha adoptado y modificado recientemente de la misma manera.
Más paquetes de software malicioso
El equipo de AUR también eliminó los otros dos paquetes sin revelar sus nombres.
Entonces, si usted es un usuario de Arch Linux que descargó "acroread" recientemente, le recomendamos que lo elimine.
Si bien la brecha no representa una amenaza seria para los usuarios de Linux, el incidente definitivamente generó un debate sobre la seguridad de los paquetes de software que no son de confianza.
Un comentario hecho por Arch de Giancarlo Razzolini dice que los paquetes AUR de los usuarios pueden contener código incorrecto y confiar explícitamente en dichos paquetes no es una buena práctica de seguridad.
"Estoy sorprendido de que este tipo de adquisición tonta del paquete y la introducción de malware no ocurra con mayor frecuencia. Por eso insistimos en que los usuarios siempre descarguen el PKGBUILD del AUR, lo inspeccionen y lo construyan ellos mismos", dice Razzolini.
"Los ayudantes que hacen todo automáticamente y los usuarios que no prestan atención, * tendrán * problemas. Debería usar ayudantes aún más a su propio riesgo que el propio AUR".
Por lo tanto, con cualquier repositorio mantenido por el usuario, los usuarios deben verificar qué están descargando.
Seguir en twitter: @disoftin

No hay comentarios:

Publicar un comentario