Passar para o conteúdo principal
x

Malware nos repositórios AUR

"Jovens", como já aconteceu anteriormente na Ubuntu Store onde havia pacotes de software com um minerador de cryptomoeda, foi descoberto no AUR (Arch Linux User Repository, que contém descrições de pacotes, também conhecidas como PKGBUILDs, que facilitam a compilação de pacotes a partir do código-fonte) um pacote contendo código malicioso.

Embora esses pacotes sejam muito úteis, eles nunca devem ser tratados como seguros e os utilizadores devem sempre verificar seu conteúdo antes de usá-los!!! No entanto na página da Web do AUR afirma-se em negrito que "os pacotes do AUR são conteúdo produzido pelo utilizador. Qualquer uso dos arquivos fornecidos é por sua conta e risco."

1


O código malicioso aparentemente não fez nada verdadeiramente prejudicial - ele só tentou fazer upload de algumas informações do sistema, como a ID da máquina, a saída do uname -a (que inclui a versão do kernel, arquitetura, etc.), informações da CPU, informações do pacman, e a saída de systemctl list-units (que lista informações das unidades systemd) para o pastebin.com, mas o objetivo de tentar enviar essas informações para o Pastebin não está claro, especialmente porque dados muito mais sensíveis podem ter sido enviados... Não sabemos a extensão desta violação...


Todos os pacotes ofensivos identificados foram removidos e a conta do utilizador (que foi registrada no mesmo dia em que os pacotes foram actualizados) que foi usada para carregá-los foi suspensa.
Além disso, a pessoa que adicionou esses scripts maliciosos ao AUR não foi muito inteligente pois deixou a chave pessoal da API do Pastebin no script em texto não criptografado, provando mais uma vez que eles não sabem o que estão a fazer.

Entretanto no Reddit pode ler-se que o utilizador xanaxdroid_ indica que que o utilizador chamado "xeactor" também tinha alguns pacotes de mineração cryptocurrency postados, então ele especula-se que o "xeactor" provavelmente estava a planear adicionar algum software de mineração de cryptomoeda escondido no AUR. Talvez por isso é que o utilizado "xeactor" provavelmente estava a tentar obter várias informações dos sistemas. Como todos os pacotes enviados por este utilizador do AUR foram removidos não se pode verificar se era mesmo essa a ideia.

Mais uma vez alerto que devemos ter o máximo de cuidado para as nossas máquinas, ou seja, devêmos verificar sempre que possível a fonte/origem dos pacotes de software, certificarmo-nos que a fonte é oficial!

Com o advento das AppImages / Snap's etc fica ainda mais complicado porque, penso, que não se consegue verificar esses pacotes!!!

Embora não seja uma ciência exacta, o caminho mais correcto será sempre confiar apenas nas fontes oficiais. Se tivermos a necessidade de algum pacote gerado pelo utilizador temos de confiar no uploader / packager!!!

 

Espero que este artigo lhe tenha sido útil!

Até à próxima!

Deixem ficar os vossos comentários e sugestões!


Detectou algum erro ou gostaria de adicionar alguma sugestão a esse artigo? Colabore, clique aqui e ajude a melhorar o conteúdo.