Descoberto malware em repositórios AUR do Arch Linux

De acordo como o site Linux Uprising, recentemente foi descoberto malware em repositórios AUR do Arch Linux. Confira os detalhes desse intrigante caso.


Malware para Linux ainda não é muito comum, mas é algo que vem aumentando há algum tempo e não afeta apenas as tecnologias da Canonical (como o Snap). Infelizmente, distribuições e tecnologias menos populares também não estão livres desse tipo de problema.
Descoberto malware em repositórios AUR do Arch Linux

Descoberto malware em repositórios AUR do Arch Linux

Conforme relatado pelo Linux Uprising, em 7 de junho deste ano foi encontrado um pacote AUR que foi modificado com código malicioso.

Para aqueles que não conhecem, um AUR (Arch User Repository) é um repositório mantido por usuários da comunidade Arch Linux, que contém descrições de pacotes chamados “PKGBUILD” que permitem que você compile um pacote a partir do código-fonte com makepkg e depois instalá-lo usando Pacman.

No entanto, apesar de ser muito útil, não devemos esquecer que o AUR é conteúdo criado pelos usuários, de modo que tudo que for gerado através deles, nunca devem ser tratados como material seguro.

O pacote AUR com o código malicioso foi marcado como órfão, mas em 7 de junho foi atualizado por um usuário chamado Xeactor para incluir um comando “curl” para baixar um script do Pastebin.

Em seguida, esse script baixou outro e instalou uma unidade do systemd para agendar uma execução periódica.

Após a descoberta destes AUR modificado para fins maliciosos, foram descobertos dois outros repositórios do mesmo tipo atualizados com o mesmo propósito.

Além disso, o Xeactor também publicou pacotes com mineradores maliciosos para possivelmente tentar implementá-los nas instalações do Arch Linux .

No código malicioso encontrado nos pacotes do AUR, ele não parecia ser especialmente prejudicial, já que estava tentando extrair informações do sistema, incluindo o ID da máquina, a saída produzida pelos comandos uname -a e systemctl list-units, Informações da CPU e informações do Pacman.

No entanto, uma falha causada pela chamada para uma função que não existe faz com que o processo não seja concluído, já que o programador coloca o upload em vez do uploader, nome estabelecido na declaração.

Falha acidental ou estamos diante de hackers inexperientes? Nos scripts, a chave pessoal da API do Pastebin também foi colada no formato de texto simples, o que mostra que os programadores por trás disso não têm muita experiência.

Depois de descobrir esses repositórios com pacotes maliciosos, a comunidade Arch Linux decidiu suspender a conta vinculada e remover os pacotes mal-intencionados.

Apesar disso, a descoberta desse problema serviu para lembrar os usuários de que eles devem verificar os pacotes que são gerados nesses repositórios, antes de instalá-los.

O que está sendo falado no blog

Deixe um comentário

Sair da versão mobile