Es
un incidente más, en donde queda demostrado que no debe confiar planamente en
repositorios de software controlados por el usuario.
Una de las
distribuciones Linux más populares Arch Linux, ha extraído hasta tres paquetes
AUR de repositorio de software mantenidos por el usuario después de que se
descubriera que alojaba código malicioso.
Arch Linux es una
distribución de GNU / Linux de uso general, la cual ha sido desarrollada de
forma independiente, está compuesta predominantemente por software libre y de
código abierto, y que fomenta la participación de la comunidad.
Además de repositorios
oficiales como Arch Build System (ABS), los usuarios de Arch Linux también
pueden descargar paquetes de software de otros repositorios, incluido AUR (Arch
User Repository), un repositorio impulsado por la comunidad creado y
administrado por usuarios de Arch Linux.
Como los paquetes AUR
son contenido producido por el usuario, los administradores de Arch siempre
sugieren a los usuarios de Linux que revisen cuidadosamente todos los archivos,
especialmente PKGBUILD y cualquier archivo .install en busca de comandos
maliciosos. Sin embargo, recientemente se ha encontrado que un repositorio de
AUR aloja código de malware en varias instancias, incluido un visor de PDF.
Visor de PDF comprometido encontrado en Arch Linux AUR
El 7 de junio, un
usuario malicioso apodado "xeactor" adoptó un paquete huérfano
(software sin un mantenedor activo) llamado "acroread" que funciona
como un visor de PDF y lo modificó para agregar código malicioso.
Según un compromiso de
Git con el código fuente del paquete, xeactor agregó un código malicioso que
descargaría un script curl que a su vez instalaría y ejecutaría un script desde
un servidor remoto.
Este script instala
software persistente que se entromete con "systemd" y lo reconfigura,
y se ejecutará cada 360 segundos.
La investigación reveló
que el script malicioso se diseñó para recopilar datos en los sistemas
infectados para recuperar la siguiente información:
• Fecha y hora
• ID de la máquina
• Información de Pacman
(utilidad de administración de paquetes)
• La salida del comando
"uname-a"
• Información de CPU
• La salida del comando
"systemctl list-units"
Los datos recopilados se
publicarán en un documento Pastebin.
Afortunadamente, un
análisis de código descubrió las modificaciones a su debido tiempo y reveló que
las secuencias de comandos no parecían ser una amenaza grave, pero las cargas
útiles pueden ser manipuladas por el atacante en cualquier momento para enviar
código malicioso sofisticado.
Tan pronto como se descubrió esto, los mantenedores de
AUR revierten los cambios realizados en el paquete, suspenden la cuenta de
xeactor y también encuentran dos paquetes más que xeactor ha adoptado y
modificado recientemente de la misma manera.
Más paquetes de software malicioso
El equipo de AUR también eliminó los otros dos paquetes
sin revelar sus nombres.
Entonces, si usted es un usuario de Arch Linux que descargó "acroread" recientemente, le recomendamos que lo elimine.
Entonces, si usted es un usuario de Arch Linux que descargó "acroread" recientemente, le recomendamos que lo elimine.
Si bien la brecha no representa una amenaza seria para
los usuarios de Linux, el incidente definitivamente generó un debate sobre la
seguridad de los paquetes de software que no son de confianza.
Un comentario hecho por Arch de Giancarlo Razzolini dice
que los paquetes AUR de los usuarios pueden contener código incorrecto y
confiar explícitamente en dichos paquetes no es una buena práctica de
seguridad.
"Estoy sorprendido de que este tipo de adquisición
tonta del paquete y la introducción de malware no ocurra con mayor frecuencia.
Por eso insistimos en que los usuarios siempre descarguen el PKGBUILD del AUR,
lo inspeccionen y lo construyan ellos mismos", dice Razzolini.
"Los ayudantes que hacen todo automáticamente y los usuarios que no prestan atención, * tendrán * problemas. Debería usar ayudantes aún más a su propio riesgo que el propio AUR".
"Los ayudantes que hacen todo automáticamente y los usuarios que no prestan atención, * tendrán * problemas. Debería usar ayudantes aún más a su propio riesgo que el propio AUR".
Por lo tanto, con cualquier repositorio mantenido por el
usuario, los usuarios deben verificar qué están descargando.
Seguir en twitter: @disoftin
Fuente: https://thehackernews.com/
0 Comentarios