De acordo como o site Linux Uprising, recentemente foi descoberto malware em repositórios AUR do Arch Linux. Confira os detalhes desse intrigante caso.
- Como transmitir vídeos para o Chromecast via terminal usando o Stream2Chromecast
- Como instalar o cliente Spotify Spot no Linux via Flatpak
- Musikcube no Linux – Conheça esse player baseado no terminal
Malware para Linux ainda não é muito comum, mas é algo que vem aumentando há algum tempo e não afeta apenas as tecnologias da Canonical (como o Snap). Infelizmente, distribuições e tecnologias menos populares também não estão livres desse tipo de problema.
Descoberto malware em repositórios AUR do Arch Linux
Conforme relatado pelo Linux Uprising, em 7 de junho deste ano foi encontrado um pacote AUR que foi modificado com código malicioso.
Para aqueles que não conhecem, um AUR (Arch User Repository) é um repositório mantido por usuários da comunidade Arch Linux, que contém descrições de pacotes chamados “PKGBUILD” que permitem que você compile um pacote a partir do código-fonte com makepkg e depois instalá-lo usando Pacman.
No entanto, apesar de ser muito útil, não devemos esquecer que o AUR é conteúdo criado pelos usuários, de modo que tudo que for gerado através deles, nunca devem ser tratados como material seguro.
O pacote AUR com o código malicioso foi marcado como órfão, mas em 7 de junho foi atualizado por um usuário chamado Xeactor para incluir um comando “curl” para baixar um script do Pastebin.
Em seguida, esse script baixou outro e instalou uma unidade do systemd para agendar uma execução periódica.
Após a descoberta destes AUR modificado para fins maliciosos, foram descobertos dois outros repositórios do mesmo tipo atualizados com o mesmo propósito.
Além disso, o Xeactor também publicou pacotes com mineradores maliciosos para possivelmente tentar implementá-los nas instalações do Arch Linux .
No código malicioso encontrado nos pacotes do AUR, ele não parecia ser especialmente prejudicial, já que estava tentando extrair informações do sistema, incluindo o ID da máquina, a saída produzida pelos comandos uname -a e systemctl list-units, Informações da CPU e informações do Pacman.
No entanto, uma falha causada pela chamada para uma função que não existe faz com que o processo não seja concluído, já que o programador coloca o upload em vez do uploader, nome estabelecido na declaração.
Falha acidental ou estamos diante de hackers inexperientes? Nos scripts, a chave pessoal da API do Pastebin também foi colada no formato de texto simples, o que mostra que os programadores por trás disso não têm muita experiência.
Depois de descobrir esses repositórios com pacotes maliciosos, a comunidade Arch Linux decidiu suspender a conta vinculada e remover os pacotes mal-intencionados.
Apesar disso, a descoberta desse problema serviu para lembrar os usuários de que eles devem verificar os pacotes que são gerados nesses repositórios, antes de instalá-los.
