Спецпроекты

В пользовательском репозитории Arch Linux нашли вредоносное ПО

ПО Безопасность Стратегия безопасности Пользователю

Вредоносный софт был обнаружен в нескольких дистрибутивах Arch Linux, опубликованных в репозитории Arch User Repository (AUR). Этот ресурс предназначен для дистрибутивов, составленных самими пользователями ОС. Благодаря оперативному вмешательству администраторов AUR, вредоносный софт был быстро удален.

AUR позволяют всем желающим работать с «заброшенными» дистрибутивами программ или библиотек. Некто под ником xeactor получил контроль над дистрибутивом acroread, программы, предназначенной для чтения PDF-файлов под Arch Linux. Она очень давно не обновлялась и, судя по комментариям, не вполне работоспособна.

Хакер добавил в дистрибутив программу, которая скачивает файл под названием ~x с сайта ptpb.pw (этот ресурс имитирует Pastebin.com). В случае установки скомпрометированного дистрибутива на ПК, файл ~x скачивает еще один файл – "~u" и запускает его каждые 360 секунд.

Файл ~u собирает данные о каждой инфицированной системе, в том числе, идентификатор компьютера, сведения о ЦП, информация о менеджере дистрибутива Pacman и ответы системы на команды "uname -a" и "systemctl list-units".

Все эти сведения выкладываются в виде отдельного файла на удаленный ресурс. Никаких деструктивных действий сами по себе ни ~x, ни ~u не предпринимают, просто собирают данные. Для чего, правда, неизвестно.

Аналогичный код, собирающий данные о системе, обнаружился еще в двух дистрибутивах, «захваченных» xeactor. Администраторы Arch Linux довольно быстро ликвидировали этот код и деактивировали аккаунт xeactor.

«В то время как эти файлы едва ли можно назвать вредоносными, метод их внедрения в дистрибутивы указывает на недобрые намерения, – сказал Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Поэтому реакция администраторов Arch Linux абсолютно адекватна и оправданна. Проблема в том, что, если "заброшенный" дистрибутив AUR действительно может захватывать любой желающий, ничто не помешает хакерам продолжить заражать такие дистрибутивы, причем уже куда менее безобидными вредоносами».

Сейчас на странице дистрибутива acroread висит уведомление о том, что он был скомпрометирован. Как называются два других дистрибутива, до которых дотянулся xeactor, пока остается неизвестным.



Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»