В пользовательском репозитории Arch Linux нашли вредоносное ПО
12 июль 2018 12:40 #70471
от ICT
ICT создал тему: В пользовательском репозитории Arch Linux нашли вредоносное ПО
Вредоносный софт был обнаружен в нескольких дистрибутивах Arch Linux, опубликованных в репозитории Arch User Repository (AUR). Этот ресурс предназначен для дистрибутивов, составленных самими пользователями ОС. Благодаря оперативному вмешательству администраторов AUR, вредоносный софт был быстро удален. AUR позволяют всем желающим работать с «заброшенными» дистрибутивами программ или библиотек. Некто под ником xeactor получил контроль над дистрибутивом acroread, программы, предназначенной для чтения PDF-файлов под Arch Linux. Она очень давно не обновлялась и, судя по комментариям, не вполне работоспособна. Хакер добавил в дистрибутив программу, которая скачивает файл под названием ~x с сайта ptpb.pw (этот ресурс имитирует Pastebin.com). В случае установки скомпрометированного дистрибутива на ПК, файл ~x скачивает еще один файл – "~u" и запускает его каждые 360 секунд. Файл ~u собирает данные о каждой инфицированной системе, в том числе, идентификатор компьютера, сведения о ЦП, информация о менеджере дистрибутива Pacman и ответы системы на команды "uname -a" и "systemctl list-units". Все эти сведения выкладываются в виде отдельного файла на удаленный ресурс. Никаких деструктивных действий сами по себе ни ~x, ни ~u не предпринимают, просто собирают данные. Для чего, правда, неизвестно. Аналогичный код, собирающий данные о системе, обнаружился еще в двух дистрибутивах, «захваченных» xeactor. Администраторы Arch Linux довольно быстро ликвидировали этот код и деактивировали аккаунт xeactor. «В то время как эти файлы едва ли можно назвать вредоносными, метод их внедрения в дистрибутивы указывает на недобрые намерения, – сказал Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Поэтому реакция администраторов Arch Linux абсолютно адекватна и оправданна. Проблема в том, что, если "заброшенный" дистрибутив AUR действительно может захватывать любой желающий, ничто не помешает хакерам продолжить заражать такие дистрибутивы, причем уже куда менее безобидными вредоносами». Сейчас на странице дистрибутива acroread висит уведомление о том, что он был скомпрометирован. Как называются два других дистрибутива, до которых дотянулся xeactor, пока остается неизвестным.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| Oracle Linux доступен в репозитории Docker Hub Registry | 14.56 | Понедельник, 09 февраля 2015 |
| Россияне нашли Linux-троян, который берет в плен Raspberry Pi и заставляет добывать криптовалюту | 11.31 | Пятница, 09 июня 2017 |
| Xiaomi Arch: смартфон с тройным экраном | 10.34 | Понедельник, 29 декабря 2014 |
| Коду нужны репозитории | 9.23 | Среда, 04 мая 2022 |
| Российские репозитории расцвели буйным цветом | 9.02 | Воскресенье, 25 июня 2023 |
| Исходный код ОС "Альт" для RISC-V появится в национальном репозитории | 8.93 | Вторник, 06 июня 2023 |
| Lenovo устанавливала на ноутбуках вредоносное ПО | 8.91 | Вторник, 24 февраля 2015 |
| «Базальт СПО» обеспечила поддержку архитектуры RISС-V в репозитории «Сизиф» | 8.83 | Понедельник, 08 апреля 2019 |
| Минцифры отказалось регулировать свободные репозитории - они это сделали сами | 8.83 | Среда, 27 марта 2024 |
| Microsoft раздает пользователям Github бесплатные репозитории для «секретных» проектов | 8.74 | Среда, 09 января 2019 |