LINUX.ORG.RU
ФорумTalks

Хакир и AUR

 , , ,


0

1

Какой-то весельчак «подобрал» (для этого нужен только емейл и пару минут времени) пару брошенных пакетов, в том числе acroread (довольно популярный когда-то) и встроил в них загрузку и запуск малвари (via curl | bash). С ошибкой. Как пишут, пока без деструктива (и даже без майнера), только сбор и отправка информации:

  • Machine ID.
  • The output of uname -a.
  • CPU Information.
  • Pacman (package management utility) Information.
  • The output of systemctl list-units.

На то, что AUR — это только хранилище скриптов, зачастую непонятно откуда (но есть там и Trusted Users), и постоянные сообщения о том, что нужно смотреть в PKGBUILD и install-script, почти никто из пользователей сего внимание не обращает.

https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/

The Arch Linux user-maintained software repository called AUR has been found to host malware. The discovery was made after a change in one of the package installation instructions was made. This is yet another incident that showcases that Linux users should not explicitly trust user-controlled repositories.

...

There are several hypotheses that are currently considered as possible. A reddit user (xanaxdroid_) mentioned online that “xeactor” has posted several cryptocurrency miner packages which shows that infection with them was a probable next step. The obtained system information can be used to choose a generic miner instance that would be compatible with most of the infected hosts. The other idea is that the nick name belongs to a hacker group that may target the infected hosts with ransomware or other advanced viruses.

https://aur.archlinux.org/packages/acroread/

[Edited again to provide more information: This package was compromised between the hours of 02:31 and 5:55 UTC on 2018-07-08. The PKGBUILD was modified to execute (via curl | bash) a script https://ptpb.pw/~x which in turn executed https://ptpb.pw/~u, an attempt to upload system details to a pastebin-type site. The script, however, contains a typo (calling $uploader when the function was actually upload()) so shouldn't actually do anything. The PKGBUILD also tried to install a systemd timer. Check for /usr/lib/xeactor, /usr/lib/systemd/system/xeactor.timer, /usr/lib/systemd/system/xeactor.service. The problematic commit to the PKGBUILD, which was reverted by a TU, can still be read here: https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id=b3fec9f2f167 ]

UPDATE1: Список пакетов, в PKGBUILD которых была встроена малварь:

  • acrored 9.5.5-8
  • balz 1.20-3
  • minergate 8.1-2
★★★★★

Последнее исправление: greenman (всего исправлений: 16)

1 2
Ответ на: комментарий от imul

Оно у меня в виртуалке стояло, на чистой винде. Я даже не помню что с системой случилось. Новость через месяц после события прочитал. Проверил меилакк, а у меня там 1тб места :-)

Behem0th ★★★★★
()

Всегда ставлю AcrobatReader чтоб читать pdf

darktic ★★★
()
Ответ на: комментарий от Im_not_a_robot

Федоры и убунты, даже со сторонними репами даже и близко не содержат в себе того, что есть в аур.

Не знаю как в федоре, но для убунты и без сторонних реп обычно уже есть собранный пакет от разработчика софтины.

близко не содержат в себе того, что есть в аур

почему-то вместо стабильных версий пакетов выпущенных разработчиком в ряде случаев предлагаются никем не протестированные сборки из snv, git и прочих.

grem ★★★★★
()
Ответ на: комментарий от grem

в ряде случаев предлагаются никем не протестированные сборки из snv, git

Тем не менее отлично работающие в большинстве случаев.

Im_not_a_robot ★★★★★
()

BTW, раз это рачетред, у меня для вас вопрос: какой aur helper используете? Я недавно перешел на yay — программа на go, работает в стиле yaourt, но гораздо удобнее (например сортирует список не сверху вниз, а снизу вверх, т.е, наиболее релевантные результаты будут снизу, а не в нескольких экранах сверху). Плюс, пишут что он секьюрный, в отличии от yaourt.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от Im_not_a_robot

т.е, наиболее релевантные результаты будут снизу, а не в нескольких экранах сверху

А не проще вываливать постранично, но без вставания с ног на голову?

P.S. Сам постоянно отправляю выхлоп в less, вот что нравится в жоурналдик/сустемдик — так это постраничный выхлоп по умолчанию (и ключ --no-pager когда надо слить выхлоп в конвейер).

mandala ★★★★★
()
Ответ на: комментарий от greenman

Что ж, арч становится популярней.

Недавно я забурился в работу и несколько дней не читал нашу группу в Телеграме. Там набралось несколько тысяч(!) комментариев, больше чем в ру-докер. Помойму это успех

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

Просто интересно, о чем там говорят? Можно ли задавать тупые вопросы?

не читал несколько дней
набралось несколько тысяч(!) комментариев

Я бы дал бесплатный совет, но кому он нужен?

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от Im_not_a_robot

После долгих философских измышлений о бренности нашего существования я пришёл к выводу, что мне AUR-хелпер не нужен, так как пакетов оттуда немного.

Thetan ★★★
()
Ответ на: комментарий от Im_not_a_robot

о чем там говорят?

об арче, о программировании на арче, о разных рабочих вопросах, о жизни, итп. Как в толксах, только аудитория немного другая и нет ночей Тазика

Можно ли задавать тупые вопросы?

Можно. Ты можешь использовать Арч, даже если совсем тупой. :)

Я бы дал бесплатный совет, но кому он нужен?

Дай

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

Дай

Каналы/чаты/рассылки в которых за несколько дней накапливается несколько тысяч записей — бесполезная потеря ценного времени.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от Im_not_a_robot

Когда скучно можно потрещать. Если это не совсем флудильня безтемная — на живом канале выше шанс получить ответ на нормальный вопрос.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Когда скучно можно потрещать.

Meh, я не люблю когда так много людей. 20-30 человек, больше в чате не должно быть, иначе это как разговаривать с прохожими на оживленной улице.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от Im_not_a_robot

Это ты щаз ЛОР назвал «бесполезной потерей ценного времени»?

stevejobs ★★★★☆
()
Ответ на: комментарий от Midael

pacaur помер, говорят. Сейчас популярны aurutils, aurman и yay

Это все больше напоминает разработку на джаваскрипте :)

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от grem

С другой стороны, если ресурс с репой взломан, то что мешает злоумышленику добавить свою подпись и переподписать подправленные им пакеты в любой репе любого дистрибутива.

Разве добавление ключа в доверенные при добавлении репы не исключает такой вариант?

ramon13666 ★★★
()
Ответ на: комментарий от ramon13666

так если репа взломана и над ней получен контроль, то как добавление ключа в доверенные поможет?

grem ★★★★★
()

Вообще, на самом деле успех, быстро раскрыли. Ну и Васянам при установке из AUR выносится предупреждение, в отличие от всяких snapов. Так что грамотный ССЗБ десигн.

Valeg ★★★
()
Ответ на: комментарий от grem

Новые пакеты будут подписаны новым ключом, на что ругнётся пакетный менеджер. Другое дело, что часто и сами владельцы репы/пакета меняют ключи, так что пользователи добавят новый ключ не разбираясь, почему он сменился.

ramon13666 ★★★
()
Ответ на: комментарий от ramon13666

в генту ещё бывает,что контрольные суммы в Manifest файле могут не совпасть (забыли обновить) и тогда он тоже не ставится. Приходится ждать до следующей синхронизации.

Я наконец починил у себя обновление через rsync с gpg-verification. Я хранил бэкап прошлого конфига (.conf_bkp) в той же директории и он как-то конфликтовал :)

grem ★★★★★
()
Ответ на: комментарий от greenman

я бы не сказал, что б прямо совсем трудно. Было бы желание

arcanis ★★★★
()

так вроде же это стандартная практика)

q13
()
Ответ на: комментарий от ZDPACTE

нет, что ты это же супер secure dist. Здесь такого нет....

q13
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Talks