当前位置:安全资讯 >> 全文

Arch Linux AUR软件包资料库遭恶意软件感染

发布时间:2018-7-11 10:15 标签: 恶意软件,Arch Linux
分享到 0

由用户提交的软件包的官方 Arch Linux 存储库 AURArch User Repository)上存在至少三个遭恶意软件感染的 Arch Linux 软件包。AUR 团队已快速删除了这些恶意代码。

 软件包被曝存在信息窃取器

事件发生的原因是 AUR 允许任何人接管已被原始作者放弃的 orphand 资料库。上周六,网络昵称为 xeactor 的用户就接管了名为 acroread 的此类 orphaned 数据包。

从这个数据包的源代码的一个 Git commit 来看,xeactor 添加了恶意代码,从类似 Pastebin 网站、允许用户共享小规模文本的轻量级网站 ptpb.pw 下载名为 ~x 的文件。

当用户安装 xeactor 软件包时,用户的个人电脑就会下载并执行 ~x 文件,随后下载并运行另外一个名为 ~u 的文件。

除了下载 ~u 文件外,~x 文件的主要目的还包括修改 systemd 并增加一个计时器,每隔360秒运行一次 ~u 文件。

恶意软件的动作不多

~u 文件的目的是收集每个受感染系统的数据并通过攻击者的自定义 Pastebin API 密钥将这些详情在一个新的 Pastebin 文件中公布。所收集的软件包详情包括日期和时间、机器的 IDCPU 信息、Pacman(软件包管理器)详情以及 uname-a systemctl list-units 命令的输出。

除此之外,并未观测到其它恶意动作,意味着 acroread 软件包并未损坏用户系统,而只是收集数据为实现其它目的。该恶意软件并未包含自更新机制,说明 xeactor 本来需要另外一个 acroread 软件包更新以部署更具侵入性的代码或其它潜在的恶意软件。

另外两个软件包也受感染

AUR 团队还表示在其它两个被 xeactor 用户接管的软件包中也找到了类似的恶意代码,但并未披露这两个数据包的名称。针对这三个软件包的所有恶意变化现在已被逆转,而 xeactor 的账户也已被挂起。

Arch Linux 是今年第二个在用户提交的软件包中出现恶意软件的 Linux 版本。5月份,Ubuntu Store 团队在 Ubuntu 软件包 2048buntu 中找到了隐藏的密币挖矿机。

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository/
参与讨论,请先 登录 | 注册

用户评论