Phát hiện gói phần mềm độc hại trên kho lưu trữ người dùng (AUR) Arch Linux

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 12/07/18, 11:07 AM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 523
    Đã được thích: 56
    Điểm thành tích:
    48
    Một trong những bản phân phối Linux phổ biến nhất - Arch Linux chứa rất nhiều gói phần mềm AUR lưu trữ bởi người dùng thứ ba sau khi phát hiện mã độc.

    arch-linux-aur-malware.png

    Arch Linux là một bản phân phối Linux/GNU được phát triển độc lập, bao gồm chủ yếu là phần mềm tự do và nguồn mở, và cho phép cộng đồng tham gia phát triển.

    Bên cạnh các kho lưu trữ chính thức như Arch Build System (ABS), người dùng Arch Linux cũng có thể tải các gói phần mềm từ một số kho khác, bao gồm AUR (Arch User Repository), một kho lưu trữ cộng đồng do người dùng Arch Linux tạo và quản lý.

    Gói phần mềm AUR là nội dung do người dùng tạo nên, do vậy người bảo trì Arch luôn đề nghị người dùng Linux kiểm tra cẩn thận tất cả các tệp tin, đặc biệt là PKGBUILD và mọi tệp .install để tránh các lệnh nguy hiểm.

    Tuy nhiên, kho lưu trữ AUR gần đây bị phát hiện có lưu trữ mã độc trong một số phiên bản, bao gồm cả trình xem PDF.

    Trình xem PDF bị tấn công trên Arch Linux AUR

    Ngày 7/6, một hacker có nick ‘xeactor’ nhận gói phần mềm ‘mồ côi’ (phần mềm không có người duy trì hoạt động) có tên gọi ‘acroread’ có chức năng như trình xem PDF và sửa đổi nó để chèn mã độc.

    Theo một Git commit cho mã nguồn của gói phần mềm, xeactor chèn thêm mã độc có thể tải một tập lệnh curl lần lượt cài đặt và chạy một tập lệnh từ một máy chủ từ xa.

    Tập lệnh này cài đặt phần mềm thường xuyên, gây trở ngại cho ‘systemd’, cấu hình lại phần mềm và chạy 360 giây một lần.

    Kết quả điều tra cho thấy tập lệnh độc hại được thiết kế để thu thập dữ liệu trên các hệ thống bị lây nhiễm với mục đích truy xuất các thông tin sau:

    • Ngày, giờ

    • ID của máy

    • Thông tin Pacman (tiện ích quản lý gói)

    • Đầu ra của lệnh ‘uname-a’

    • Thông tin CPU

    • Đầu ra của lệnh ‘systemctl list-units’


    Các dữ liệu thu thập được sau đó sẽ được đăng trong một tài liệu Pastebin.

    May mắn thay, một phân tích mã phát hiện những điều chỉnh sắp tới và tiết lộ rằng mối đe dọa nghiêm trọng không phải là các kịch bản mà chính là các đoạn mã payload có thể bị hacker ngụy tạo tại bất kỳ thời điểm nào nhằm kích hoạt mã độc phức tạp.

    Ngay sau khi điều này được phát hiện, các nhà bảo trì AUR hoàn nguyên các thay đổi được thực hiện trong gói, đình chỉ hoạt động tài khoản của xeactor và còn tìm thấy hai gói phần mềm nữa mà xeactor đã nhận được gần đây và sửa đổi theo cách tương tự.

    Các gói phần mềm độc hại khác

    Nhóm AUR cũng đã xóa hai gói phần mềm còn lại nhưng không tiết lộ tên.

    Vì vậy, nếu bạn là người dùng Arch Linux và gần đây có tải ‘acroread’ thì cần phải xóa nó đi.

    Mặc dù vụ việc không gây ra những mối đe dọa nghiêm trọng cho người dùng Linux, nhưng lại gây ra một cuộc tranh luận về sự an toàn của các gói phần mềm không tin cậy.

    Vì vậy, với bất kỳ kho lưu trữ người dùng nào, người dùng nên kiểm tra lại những gì đang tải xuống.

    Nguồn: The Hacker News
     
    Chỉnh sửa cuối: 12/07/18, 12:07 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. tuantro

    tuantro Member

    Tham gia: 29/06/18, 04:06 PM
    Bài viết: 5
    Đã được thích: 1
    Điểm thành tích:
    1
    Ghê răng thật, mình toàn xài các gói từ AUR repos :( Chắc phải chuyển sang dùng Windows
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan