Спецпроекты

ПО Безопасность Пользователю Стратегия безопасности

В пользовательском репозитории Arch Linux нашли вредоносное ПО

Вредоносный софт был обнаружен в нескольких дистрибутивах Arch Linux, опубликованных в репозитории Arch User Repository (AUR). Этот ресурс предназначен для дистрибутивов, составленных самими пользователями ОС. Благодаря оперативному вмешательству администраторов AUR, вредоносный софт был быстро удален.

AUR позволяют всем желающим работать с «заброшенными» дистрибутивами программ или библиотек. Некто под ником xeactor получил контроль над дистрибутивом acroread, программы, предназначенной для чтения PDF-файлов под Arch Linux. Она очень давно не обновлялась и, судя по комментариям, не вполне работоспособна.

Хакер добавил в дистрибутив программу, которая скачивает файл под названием ~x с сайта ptpb.pw (этот ресурс имитирует Pastebin.com). В случае установки скомпрометированного дистрибутива на ПК, файл ~x скачивает еще один файл – "~u" и запускает его каждые 360 секунд.

Файл ~u собирает данные о каждой инфицированной системе, в том числе, идентификатор компьютера, сведения о ЦП, информация о менеджере дистрибутива Pacman и ответы системы на команды "uname -a" и "systemctl list-units".

Все эти сведения выкладываются в виде отдельного файла на удаленный ресурс. Никаких деструктивных действий сами по себе ни ~x, ни ~u не предпринимают, просто собирают данные. Для чего, правда, неизвестно.

Аналогичный код, собирающий данные о системе, обнаружился еще в двух дистрибутивах, «захваченных» xeactor. Администраторы Arch Linux довольно быстро ликвидировали этот код и деактивировали аккаунт xeactor.

«В то время как эти файлы едва ли можно назвать вредоносными, метод их внедрения в дистрибутивы указывает на недобрые намерения, – сказал Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Поэтому реакция администраторов Arch Linux абсолютно адекватна и оправданна. Проблема в том, что, если "заброшенный" дистрибутив AUR действительно может захватывать любой желающий, ничто не помешает хакерам продолжить заражать такие дистрибутивы, причем уже куда менее безобидными вредоносами».

Сейчас на странице дистрибутива acroread висит уведомление о том, что он был скомпрометирован. Как называются два других дистрибутива, до которых дотянулся xeactor, пока остается неизвестным.

Дмитрий Степанов

Короткая ссылка