Trovato (e subito rimosso) del malware in AUR

By Marco Giannini

Del malware è stato trovato su AUR (Arch Linux Repository). Il malware è stato caricato nella giornata di sabato 7 luglio ma, fortunatamente, la minaccia è stata subito neutralizzata dal team che gestisce AUR.

I fatti

Su AUR ci sono diversi repository che non vengono più mantenuti aggiornati da parte dei loro manutentori. Questi repository possono essere rilevati da altri utenti per essere nuovamente aggiornati.
L’utente che utilizzava il nicknamen xeactor ha rilevato uno di questi repository e precisamente quello relativo a acroread. Una volta rilevato ha provveduto a modificarlo e ad aggiungergli del codice malevolo (che potete visualizzare sul commit Git).

Il meccanismo di azione del malware

Il malware caricato scaricava sul computer della vittima un primo file chiamato ~x (qui trovate il codice sorgente mentre qui la scansione con VirusTotal) che a sua volta andava a scaricare un altro file chiamato ~u (qui trovate il codice sorgente mentre qui la scansione con VirusTotal). Il file ~x, oltre a scaricare il file ~u, andava e a modificare systemd aggiungendogli un timer che consentiva l’esecuzione di ~u ogni 360 secondi.

Cosa faceva il malware?

Il file ~u raccoglieva alcuni dati dai sistemi infetti (la data, l’ora, l’ID della macchina, informazionu sulla CPU, dettagli di Pacman e l’output dei comandi “uname -a” e “systemctl list-units”) e li copiava all’interno di un nuovo file su Pastebin utilizznado la chiave API Pastebin personalizzata dell’utente che ha creato il malware.
Non sono segnalate altre operazioni dannose in questa fase. Molto probabilmente stava soltanto raccogliendo dati per un successivo attacco o aggiornamento del pacchetto per distribuire altro codice malevolo.

Non solo quel pacchetto

Lo stesso autore aveva anche caricato un codice simile in altri due pacchetti di AUR ma attualmente, il team di AUR, non ha rivelato quali sono.
State sereni
Ovviamente tutte le modifiche malevoli sono state annullate e l’account di xeactor è stato sospeso.

Visited 2 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.