В пользовательском репозитории Arch Linux нашли вредоносное ПО
12 июль 2018 12:40 #70471
от ICT
ICT создал тему: В пользовательском репозитории Arch Linux нашли вредоносное ПО
Вредоносный софт был обнаружен в нескольких дистрибутивах Arch Linux, опубликованных в репозитории Arch User Repository (AUR). Этот ресурс предназначен для дистрибутивов, составленных самими пользователями ОС. Благодаря оперативному вмешательству администраторов AUR, вредоносный софт был быстро удален. AUR позволяют всем желающим работать с «заброшенными» дистрибутивами программ или библиотек. Некто под ником xeactor получил контроль над дистрибутивом acroread, программы, предназначенной для чтения PDF-файлов под Arch Linux. Она очень давно не обновлялась и, судя по комментариям, не вполне работоспособна. Хакер добавил в дистрибутив программу, которая скачивает файл под названием ~x с сайта ptpb.pw (этот ресурс имитирует Pastebin.com). В случае установки скомпрометированного дистрибутива на ПК, файл ~x скачивает еще один файл – "~u" и запускает его каждые 360 секунд. Файл ~u собирает данные о каждой инфицированной системе, в том числе, идентификатор компьютера, сведения о ЦП, информация о менеджере дистрибутива Pacman и ответы системы на команды "uname -a" и "systemctl list-units". Все эти сведения выкладываются в виде отдельного файла на удаленный ресурс. Никаких деструктивных действий сами по себе ни ~x, ни ~u не предпринимают, просто собирают данные. Для чего, правда, неизвестно. Аналогичный код, собирающий данные о системе, обнаружился еще в двух дистрибутивах, «захваченных» xeactor. Администраторы Arch Linux довольно быстро ликвидировали этот код и деактивировали аккаунт xeactor. «В то время как эти файлы едва ли можно назвать вредоносными, метод их внедрения в дистрибутивы указывает на недобрые намерения, – сказал Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Поэтому реакция администраторов Arch Linux абсолютно адекватна и оправданна. Проблема в том, что, если "заброшенный" дистрибутив AUR действительно может захватывать любой желающий, ничто не помешает хакерам продолжить заражать такие дистрибутивы, причем уже куда менее безобидными вредоносами». Сейчас на странице дистрибутива acroread висит уведомление о том, что он был скомпрометирован. Как называются два других дистрибутива, до которых дотянулся xeactor, пока остается неизвестным.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Oracle Linux доступен в репозитории Docker Hub Registry | 14.57 | Понедельник, 09 февраля 2015 |
Россияне нашли Linux-троян, который берет в плен Raspberry Pi и заставляет добывать криптовалюту | 11.32 | Пятница, 09 июня 2017 |
Xiaomi Arch: смартфон с тройным экраном | 10.34 | Понедельник, 29 декабря 2014 |
Коду нужны репозитории | 9.23 | Среда, 04 мая 2022 |
Российские репозитории расцвели буйным цветом | 9.03 | Воскресенье, 25 июня 2023 |
Исходный код ОС "Альт" для RISC-V появится в национальном репозитории | 8.93 | Вторник, 06 июня 2023 |
Lenovo устанавливала на ноутбуках вредоносное ПО | 8.92 | Вторник, 24 февраля 2015 |
«Базальт СПО» обеспечила поддержку архитектуры RISС-V в репозитории «Сизиф» | 8.84 | Понедельник, 08 апреля 2019 |
Минцифры отказалось регулировать свободные репозитории - они это сделали сами | 8.84 | Среда, 27 марта 2024 |
Microsoft раздает пользователям Github бесплатные репозитории для «секретных» проектов | 8.75 | Среда, 09 января 2019 |