在 Arch 用戶倉庫(AUR)中發現惡意軟體
7 月 7 日,有一個 AUR 軟體包被改入了一些惡意代碼,提醒 Arch Linux 用戶(以及一般的 Linux 用戶)在安裝之前應該儘可能檢查所有由用戶生成的軟體包。
AUR(即 Arch(Linux)用戶倉庫)包含包描述,也稱為 PKGBUILD,它使得從源代碼編譯包變得更容易。雖然這些包非常有用,但它們永遠不應被視為安全的,並且用戶應儘可能在使用之前檢查其內容。畢竟,AUR 在網頁中以粗體顯示 「AUR 包是用戶製作的內容。任何使用該提供的文件的風險由你自行承擔。」
這次發現包含惡意代碼的 AUR 包證明了這一點。acroread 於 7 月 7 日(看起來它以前是「孤兒」,意思是它沒有維護者)被一位名為 「xeactor」 的用戶修改,它包含了一行從 pastebin 使用 curl
下載腳本的命令。然後,該腳本下載了另一個腳本並安裝了一個 systemd 單元以定期運行該腳本。
看來有另外兩個 AUR 包以同樣的方式被修改。所有違規軟體包都已刪除,並暫停了用於上傳它們的用戶帳戶(它們註冊在更新軟體包的同一天)。
這些惡意代碼沒有做任何真正有害的事情 —— 它只是試圖上傳一些系統信息,比如機器 ID、uname -a
的輸出(包括內核版本、架構等)、CPU 信息、pacman 信息,以及 systemctl list-units
(列出 systemd 單元信息)的輸出到 pastebin.com。我說「試圖」是因為第二個腳本中存在錯誤而沒有實際上傳系統信息(上傳函數為 「upload」,但腳本試圖使用其他名稱 「uploader」 調用它)。
此外,將這些惡意腳本添加到 AUR 的人將腳本中的個人 Pastebin API 密鑰以明文形式留下,再次證明他們真的不明白他們在做什麼。(LCTT 譯註:意即這是一個菜鳥「黑客」,還不懂得如何有經驗地隱藏自己。)
嘗試將此信息上傳到 Pastebin 的目的尚不清楚,特別是原本可以上傳更加敏感信息的情況下,如 GPG / SSH 密鑰。
更新: Reddit用戶 u/xanaxdroid_ 提及同一個名為 「xeactor」 的用戶也發布了一些加密貨幣挖礦軟體包,因此他推測 「xeactor」 可能正計劃添加一些隱藏的加密貨幣挖礦軟體到 AUR(兩個月前的一些 Ubuntu Snap 軟體包也是如此)。這就是 「xeactor」 可能試圖獲取各種系統信息的原因。此 AUR 用戶上傳的所有包都已刪除,因此我無法檢查。
另一個更新:你究竟應該在那些用戶生成的軟體包檢查什麼(如 AUR 中發現的)?情況各有不同,我無法準確地告訴你,但你可以從尋找任何嘗試使用 curl
、wget
和其他類似工具下載內容的東西開始,看看他們究竟想要下載什麼。還要檢查從中下載軟體包源的伺服器,並確保它是官方來源。不幸的是,這不是一個確切的「科學做法」。例如,對於 Launchpad PPA,事情變得更加複雜,因為你必須懂得 Debian 如何打包,並且這些源代碼是可以直接更改的,因為它託管在 PPA 中並由用戶上傳的。使用 Snap 軟體包會變得更加複雜,因為在安裝之前你無法檢查這些軟體包(據我所知)。在後面這些情況下,作為通用解決方案,我覺得你應該只安裝你信任的用戶/打包器生成的軟體包。
via: https://www.linuxuprising.com/2018/07/malware-found-on-arch-user-repository.html
作者:Logix 選題:lujun9972 譯者:geekpi 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive