Linux中國

在 Arch 用戶倉庫(AUR)中發現惡意軟體

7 月 7 日,有一個 AUR 軟體包被改入了一些惡意代碼,提醒 Arch Linux 用戶(以及一般的 Linux 用戶)在安裝之前應該儘可能檢查所有由用戶生成的軟體包。

AUR(即 Arch(Linux)用戶倉庫)包含包描述,也稱為 PKGBUILD,它使得從源代碼編譯包變得更容易。雖然這些包非常有用,但它們永遠不應被視為安全的,並且用戶應儘可能在使用之前檢查其內容。畢竟,AUR 在網頁中以粗體顯示 「AUR 包是用戶製作的內容。任何使用該提供的文件的風險由你自行承擔。

這次發現包含惡意代碼的 AUR 包證明了這一點。acroread 於 7 月 7 日(看起來它以前是「孤兒」,意思是它沒有維護者)被一位名為 「xeactor」 的用戶修改,它包含了一行從 pastebin 使用 curl 下載腳本的命令。然後,該腳本下載了另一個腳本並安裝了一個 systemd 單元以定期運行該腳本。

看來有另外兩個 AUR 包以同樣的方式被修改。所有違規軟體包都已刪除,並暫停了用於上傳它們的用戶帳戶(它們註冊在更新軟體包的同一天)。

這些惡意代碼沒有做任何真正有害的事情 —— 它只是試圖上傳一些系統信息,比如機器 ID、uname -a 的輸出(包括內核版本、架構等)、CPU 信息、pacman 信息,以及 systemctl list-units(列出 systemd 單元信息)的輸出到 pastebin.com。我說「試圖」是因為第二個腳本中存在錯誤而沒有實際上傳系統信息(上傳函數為 「upload」,但腳本試圖使用其他名稱 「uploader」 調用它)。

此外,將這些惡意腳本添加到 AUR 的人將腳本中的個人 Pastebin API 密鑰以明文形式留下,再次證明他們真的不明白他們在做什麼。(LCTT 譯註:意即這是一個菜鳥「黑客」,還不懂得如何有經驗地隱藏自己。)

嘗試將此信息上傳到 Pastebin 的目的尚不清楚,特別是原本可以上傳更加敏感信息的情況下,如 GPG / SSH 密鑰。

更新: Reddit用戶 u/xanaxdroid_ 提及同一個名為 「xeactor」 的用戶也發布了一些加密貨幣挖礦軟體包,因此他推測 「xeactor」 可能正計劃添加一些隱藏的加密貨幣挖礦軟體到 AUR(兩個月前的一些 Ubuntu Snap 軟體包也是如此)。這就是 「xeactor」 可能試圖獲取各種系統信息的原因。此 AUR 用戶上傳的所有包都已刪除,因此我無法檢查。

另一個更新:你究竟應該在那些用戶生成的軟體包檢查什麼(如 AUR 中發現的)?情況各有不同,我無法準確地告訴你,但你可以從尋找任何嘗試使用 curlwget和其他類似工具下載內容的東西開始,看看他們究竟想要下載什麼。還要檢查從中下載軟體包源的伺服器,並確保它是官方來源。不幸的是,這不是一個確切的「科學做法」。例如,對於 Launchpad PPA,事情變得更加複雜,因為你必須懂得 Debian 如何打包,並且這些源代碼是可以直接更改的,因為它託管在 PPA 中並由用戶上傳的。使用 Snap 軟體包會變得更加複雜,因為在安裝之前你無法檢查這些軟體包(據我所知)。在後面這些情況下,作為通用解決方案,我覺得你應該只安裝你信任的用戶/打包器生成的軟體包。

via: https://www.linuxuprising.com/2018/07/malware-found-on-arch-user-repository.html

作者:Logix 選題:lujun9972 譯者:geekpi 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國