Um malware foi encontrado em repositório do Arch Linux. Os usuários de Linux de todas as distribuições receberam um grande alerta para não confiar explicitamente nos repositórios de software gerenciados por usuários após o último incidente relacionado ao Arch Linux. Os pacotes AUR mantidos pelo usuário do projeto (que significa “Arch User Repository”) foram usados para hospedar códigos de malware em várias instâncias. Felizmente, uma análise de código foi capaz de descobrir as modificações no devido tempo.
Investigações sobre o caso
Assim sendo, a investigação de segurança mostra que um usuário mal-intencionado com o apelido xeactor modificou em 7 de junho um pacote órfão (software sem um mantenedor ativo) chamado acroraed. Além disso, as alterações incluíram um script curl que baixa e executa um script de um site remoto.
Dessa maneira, é instalado um software que reconfigura o systemd para iniciar periodicamente. Porém, mesmo parecendo que eles não representam uma séria ameaça à segurança dos hosts infectados, os scripts podem ser manipulados. Deste mdo, podem, a qualquer momento, incluir código arbitrário. Diante disso, dois outros pacotes foram modificados.
Por outro lado, após a descoberta, todas as instâncias perigosas foram removidas e a conta do usuário foi suspensa. A investigação revela que os scripts executados incluíram um componente de coleta de dados que recupera as seguintes informações:
- ID da máquina;
- A saída do uname -a;
- Informações da CPU;
- Informações do Pacman (utilitário de gerenciamento de pacotes);
- A saída de systemctl list-units.
Hipóteses
A informação colhida deveria ser transferida para um documento do Pastebin. A equipe do AUR descobriu que os scripts continham a chave da API privada. Deste modo, a equipe acredita que isso provavelmente foi feito por um hacker inexperiente . O objetivo do ataque ao sistema permanece desconhecido.
Existem várias especulações para a motivação do hacker. Um usuário do reddit (xanaxdroid) mencionou que o “xeactor” publicou vários pacotes de minerador de criptomoeda. A outra ideia é que o apelido pertence a um grupo de hackers que pode direcionar os hosts infectados com ransomware ou outros vírus avançados.
O que dizem usuários e equipe
Independentemente de os usuários do Linux usarem o Arch Linux, eles devem verificar se algum repositório mantido pelo usuário é confiável. Este incidente mostra mais uma vez que a segurança não pode ser garantida. Um comentário feito por Giancarlo Razzolini (um usuário confiável do Arch Linux) diz que confiar explicitamente no AUR e usar aplicativos auxiliares não é uma boa prática de segurança. Em resposta à lista de discussão anunciada, ele postou a seguinte resposta :
[bs-quote quote=”Estou surpreso que este tipo de aquisição de pacote bobo e introdução de malware não aconteça com mais frequência. É por isso que insistimos que os usuários sempre baixem o PKGBUILD do AUR, inspecionem e construam ele mesmo. Ajudantes que fazem tudo automaticamente e usuários que não prestam atenção, terão problemas. ” style=”style-2″ align=”center” color=”#ff1900″ author_name=”Giancarlo Razzolini ” author_job=”Usuário avançado do Arch Linux” author_link=”https://lists.archlinux.org/pipermail/aur-general/2018-July/034165.html”][/bs-quote]
Resposta ao incidente do Arch Linux AUR
Portanto, a descoberta é que o malware foi inclído no último dia 7 de julho e a descoberta ocorreu no dia seguinte. Na mesma ocasião, a conta do hacker foi suspensa e os pacotes foram corrigidos pela equipe do AUR.
Contudo, fica o alerta para usuários de todas as distribuições Linux. Por isso, todos precisam estar cientes dos riscos que correm na instalação de software de repositórios que não são mantidos diretamente por seus mantenedores diretos. Em alguns casos, eles não assumem o mesmo compromisso e responsabilidade. Deste modo, é muito mais provável que uma infecção por malware possa se espalhar e não ser resolvida a tempo.
