Baixou alguma coisa da conta GitHub do Gentoo ontem? Considere esses arquivos comprometidos e descarte-os agora. Um grupo desconhecido de hackers ou um indivíduo conseguiu acessar a conta do GitHub da distribuição do Gentoo Linux na quinta-feira e substituiu o código-fonte original por um malicioso.
O Gentoo é uma distribuição gratuita de código aberto Linux ou FreeBSD construída usando o sistema de gerenciamento de pacotes Portage, que o torna mais flexível, fácil de manter e portátil em comparação com outros sistemas operacionais.
O que dizem os desenvolvedores do Gentoo ?
Em um alerta de segurança divulgado em seu site ontem, os desenvolvedores da distribuição alertaram os usuários para não usarem o código da sua conta do GitHub, pois alguns “indivíduos desconhecidos” ganharam o controle no dia 28 de junho e “modificaram o conteúdo dos repositórios, bem como páginas”.
De acordo com o desenvolvedor, Francisco Blas Izquierdo Riera, depois de ganhar o controle da organização Gentoo Github, os atacantes
“[…]substituíram as árvores portage e musl-dev por versões maliciosas dos ebuilds com o objetivo de tentar remover todos os seus arquivos[…]”.
Ebuild são scripts bash, um formato criado pelo projeto, que automatiza os procedimentos de compilação e instalação de pacotes de software, ajudando o projeto com seu sistema de gerenciamento de software portage.
“Ainda estamos trabalhando para determinar a extensão exata e recuperar o controle da organização e de seus repositórios.
Todo o código do Gentoo hospedado no GitHub deve, por enquanto, ser considerado comprometido”, disse o alerta.
No entanto, assegurou a seus usuários que o incidente não afetou nenhum código hospedado no site oficial ou os servidores de download espelhado e que os usuários ficariam bem contanto que usassem rsync ou webrsync do gentoo.org.
Isso ocorre porque o repositório principal ebuild está hospedado em seu próprio portal oficial e o Github é apenas um espelho para ele.
“Além disso, os repositórios do gentoo-mirror incluindo metadados são hospedados em uma organização separada do Github e provavelmente não são afetados também.
Todos os commits do Gentoo são assinados, e você deve verificar a integridade das assinaturas ao usar o git”, disse o desenvolvedor.
Em uma atualização posterior em seu site, a organização disse que recuperou o controle da Organização, mas aconselhou os usuários a continuarem a não usar código de sua conta do Github, pois eles ainda estão trabalhando com o Github, para estabelecer um cronograma do que aconteceu.
Se você fez o download das imagens do Gentoo Linux do GitHub em vez do seu site oficial, é altamente recomendável fazer backup do seu conteúdo e reinstalar o sistema operacional do zero.
