Malware encontrado en el repositorio de usuarios de Arch AUR
Un malware fue encontrado en un repositorio de Arch Linux. Los usuarios de Linux de todas las distribuciones recibieron una gran alerta para no confiar explícitamente en los repositorios de software administrados por los usuarios después del último incidente relacionado con Arch Linux.
Los paquetes AUR mantenidos por el usuario del proyecto (que significa "Arch User Repository") se utilizaron para alojar códigos de malware en varias instancias.
Afortunadamente, un análisis de código fue capaz de descubrir las modificaciones a su debido tiempo.
Investigaciones sobre el caso
La investigación de seguridad muestra que un usuario malintencionado con el apodo xeactor modificó el 7 de junio un paquete huérfano (software sin un mantenedor activo) llamado "acroraed". Además, los cambios incluyeron un script curl que baja y ejecuta una secuencia de comandos desde un sitio web remoto.
De esta manera, se instala un software que reconfigura el systemd para que se inicie periódicamente. Sin embargo, aunque parezca que no representan una seria amenaza a la seguridad de los hosts infectados, los scripts pueden ser manipulados. De este modo, pueden, en cualquier momento, incluir código arbitrario. Por lo tanto, otros dos paquetes se han modificado.
Por otro lado, después del descubrimiento, todas las instancias peligrosas fueron removidas y la cuenta del usuario fue suspendida. La investigación revela que los scripts ejecutados incluyeron un componente de recolección de datos que recupera la siguiente información:
- ID de la máquina
- La salida producida mediante los comandos "uname -a" y "systemctl list-units"
- La información de la CPU
- La información de Pacman
La información recopilada debería transferirse a un documento de Pastebin. El equipo de AUR descubrió que los scripts contenían la clave de la API privada. De este modo, el equipo cree que esto probablemente fue hecho por un hacker inexperto. El objetivo del ataque al sistema sigue siendo desconocido.
Hay varias especulaciones para la motivación del hacker. Un usuario del reddit (xanaxdroid) mencionó que el "xeactor" publicó varios paquetes de mineros de criptomonedas. La otra idea es que el apodo pertenece a un grupo de hackers que puede dirigir a los hosts infectados con ransomware u otros virus avanzados.
Respuesta al incidente de Arch Linux AUR
Por lo tanto, el descubrimiento es que el malware fue entre el 7 y el 9 de julio. La cuenta del hacker fue suspendida y los paquetes fueron corregidos por el equipo de AUR.
Sin embargo, está alerta para los usuarios de todas las distribuciones de Linux. Por lo tanto, todos deben estar conscientes de los riesgos que corren en la instalación de software de repositorios que no son mantenidos directamente por sus mantenedores directos. En algunos casos, no asumen el mismo compromiso y responsabilidad. Por lo tanto, es mucho más probable que una infección por malware pueda propagarse y no se resuelva a tiempo.