LINUX.ORG.RU
ФорумTalks

Хакир и AUR

 , , ,


0

1

Какой-то весельчак «подобрал» (для этого нужен только емейл и пару минут времени) пару брошенных пакетов, в том числе acroread (довольно популярный когда-то) и встроил в них загрузку и запуск малвари (via curl | bash). С ошибкой. Как пишут, пока без деструктива (и даже без майнера), только сбор и отправка информации:

  • Machine ID.
  • The output of uname -a.
  • CPU Information.
  • Pacman (package management utility) Information.
  • The output of systemctl list-units.

На то, что AUR — это только хранилище скриптов, зачастую непонятно откуда (но есть там и Trusted Users), и постоянные сообщения о том, что нужно смотреть в PKGBUILD и install-script, почти никто из пользователей сего внимание не обращает.

https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/

The Arch Linux user-maintained software repository called AUR has been found to host malware. The discovery was made after a change in one of the package installation instructions was made. This is yet another incident that showcases that Linux users should not explicitly trust user-controlled repositories.

...

There are several hypotheses that are currently considered as possible. A reddit user (xanaxdroid_) mentioned online that “xeactor” has posted several cryptocurrency miner packages which shows that infection with them was a probable next step. The obtained system information can be used to choose a generic miner instance that would be compatible with most of the infected hosts. The other idea is that the nick name belongs to a hacker group that may target the infected hosts with ransomware or other advanced viruses.

https://aur.archlinux.org/packages/acroread/

[Edited again to provide more information: This package was compromised between the hours of 02:31 and 5:55 UTC on 2018-07-08. The PKGBUILD was modified to execute (via curl | bash) a script https://ptpb.pw/~x which in turn executed https://ptpb.pw/~u, an attempt to upload system details to a pastebin-type site. The script, however, contains a typo (calling $uploader when the function was actually upload()) so shouldn't actually do anything. The PKGBUILD also tried to install a systemd timer. Check for /usr/lib/xeactor, /usr/lib/systemd/system/xeactor.timer, /usr/lib/systemd/system/xeactor.service. The problematic commit to the PKGBUILD, which was reverted by a TU, can still be read here: https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id=b3fec9f2f167 ]

UPDATE1: Список пакетов, в PKGBUILD которых была встроена малварь:

  • acrored 9.5.5-8
  • balz 1.20-3
  • minergate 8.1-2
★★★★★

Последнее исправление: greenman (всего исправлений: 16)

Ой, в очередной помойке пакетов от Васяна нашли малварю, какие новости. Ну а то что сломато то — эт не удивительно, арчешкольники жеж...

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Ну так и написано:

I’m surprised that this type of silly package takeover and malware introduction doesn’t happen more often.

This is why we insist users always download the PKGBUILD from the AUR, inspect it and build it themselves. Helpers that do everything automatically and users that don’t pay attention, *will* have issues. You should use helpers even more so at your risk than the AUR itself.

Что ж, арч становится популярней. Ещё лет пяток назад (а может и меньше) даже пакеты в основных репах не подписывались, обходились md5.

greenman ★★★★★
() автор топика
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от greenman

Крупные слабомодерируемые площадки вообще зло: гугл просто рассадник, убунту тут на лоре спалили с майнеров в магазине, вот и арч, репы для разрабов тоже зашкварены...

mandala ★★★★★
()
Ответ на: комментарий от greenman

Ещё лет пяток назад (а может и меньше) даже пакеты в основных репах не подписывались, обходились md5.

А тут подписи всё же перестраховка, хоть и не лишняя (привет гента, азаза) — доступ к репе имеет ограниченный круг лиц и права там выдают все же не всем мимокрокодилам с каким-то мутным пакетом наперевес.

mandala ★★★★★
()
Ответ на: комментарий от greenman

Согласен. Однако пока мы имеем кучу зловредов на «народных» площадках и единицы случаев оперативно замеченной компрометации официальных зеркал реп (хоть это радует).

mandala ★★★★★
()

Смешно =))

Deleted
()

Почему ещё не сделали бинарник с судо рм-рф, замаскировав под популярную игру и не выложили на какой нибудь популярный торрент трекер? Сразу столько юзеров с линукса свалило бы)

Landgraf ★★★★★
()
Ответ на: комментарий от post-factum

Угу, прям совсем-совсем. Да и ни кто не кричит на каждом углу что в арче пакетов больше чем в убунте, т.к. аур есть.

Всё же аур для арча больше, чем для той же бубунты какие-то левые ппа или деб-репы для дебилиана, которые правда совсем левые.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Ну а то что сломато то — эт не удивительно, арчешкольники жеж...

Вижу уточнение что не не сломано, а просто шпион. Ну значить у школьника таки не плохой препод или кумир, а не ололо-кулхацкер.

mandala ★★★★★
()
Ответ на: комментарий от Landgraf

рм-рф

Современные школьники плохо знают историю и ни чего не читали про чернобыль.

mandala ★★★★★
()

На то, что AUR — хранилище скриптов ... непонятно откуда ... почти никто из пользователей сего внимание не обращает.

И наличие этого AUR преподносится как преимущество. Особо упоротые ещё и морщатся при упоминании PPA-реп, среди которых хотя бы просто официальные от разработчиков софта есть.

grem ★★★★★
()
Ответ на: комментарий от mandala

привет гента

подловил :) Я попытался в генте настроить проверку подписи при emerge --sync, но не до конца уверен, что она в итоге работает. Через протокол rsync она практически всё время заканчивается как failed. Насколько понял, хоть как-то работает через «протокол» webrsync.

Как вариант синхронизироваться можно с одного зеркала, а пакеты качать с другого. Тогда если что не так контрольные суммы не сойдутся сразу.


С другой стороны, если ресурс с репой взломан, то что мешает злоумышленику добавить свою подпись и переподписать подправленные им пакеты в любой репе любого дистрибутива.

grem ★★★★★
()
Ответ на: комментарий от Landgraf

Почему ещё не сделали бинарник с судо рм-рф, замаскировав под популярную игру и не выложили на какой нибудь популярный торрент трекер?

Шифровальщик с отложенным временем был бы красивее. Работы то для студента первого курса (на механизм расшифровки можно забить 🔨, тупо зашифровать и вывести сообщение об отправки денежек куда надо)

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от grem

Федоры и убунты, даже со сторонними репами даже и близко не содержат в себе того, что есть в аур. Если нет в аур, то нет нигде. Поэтому пользователи других дистров, если они любят эксперименты, должны быть готовы поработать руками. Т.е. убунту ставят не из-за репов. Но вот лично меня на арче держит именно аур. Без него я не вижу смысла в арче для себя.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от Im_not_a_robot

А смысл? Ну есть что-то в АУР, но оно гомно по сути нерабочее — это всё равно идёт в зачёт, что ну есть же?

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

В смысле говно не рабочее? Есть конечно что-то нерабочее и заброшенное, но большая часть отлично обновляется и стабильно работает. Пользователи других дистров почему-то думают, что в ауре каждый второй пакет нерабочий, а каждый третий с ШИРУСАМИ. Это мягко говоря не так, мой опыт подсказывает, что аур стабилен так же, как и обычные репы.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от post-factum

Что сказать то хотел?

AUR — Пользовательский репозиторий Arch (Arch User Repository)

ЗЫ: а так всегда те же фанатики будут вопить про бедных пользователей дырявой венды, при выходе какой-то очередной зверюшки. А тут сразу надо политкорректно заметить, что это не официальный репозиторий. А как будто вирусы под венду официальные 🤣

о мотивации (комментарий)

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от BceM_IIpuBeT

>Правда кто это будет делать?

Юбунту КУЛХАКИР ;)

paran0id ★★★★★
()

Это диверсия убунтят. Помните вирусню в их магазине? Тогда еще начали бухтеть, что мол везде такое может быть, кивали и на аур. В репы к большим дистрам им пока трудновато залезть, решили на ауре потренироваться.

bread
()
Ответ на: комментарий от post-factum

все PKGBUILD'ы у тебя перед глазами, и ты *обязан* их читать перед тем, как использовать

This. При обновлении все актуальные хэлперы к ауру показывают удобные диффы к пекабилдам. Бампы версий обычно отличаются на две строчки - собственно версия и хэшсуммы - и обрабатываются мозгом за долю секунды. ССЗБ, короче.

droserasprout ★★
()
Ответ на: комментарий от post-factum

Ты писал, что он никакого отношения к Арч не имеет.

Это враньё, ибо AUR банально хоститься на рачной инфраструктуре, а к тому же АУРная дребедень при определённых условиях отбора проходит в официальные Comunity репозитории.

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Все, что не входит в дистр, не имеет к нему отношения, очевидно. Аур это просто хранилище рецептов, мало ли где оно хостится. С начала времен всех предупреждают, что ставить из аур небезопасно, это риск юзера. Так что все нормально. А вот залет бубунты с официальным хомячковым магазином, это эпично.

bread
()
Ответ на: комментарий от der_looser

Ну я и правда вспомнил, но вспомнил про подписи.

mandala ★★★★★
()
Ответ на: комментарий от bread

А сколько залетов у гугла? От первого залета фсевшоке, от второго только бугуртят, послке пятого не обращают внимания.

mandala ★★★★★
()

Главное, что не mesa-git или llvm-svn!

robus ★★★★★
()
Ответ на: комментарий от bread

Я всё это знаю.

Заявление «AUR не имеет никакого отношения к ARCH» — это бесспорное враньё.

fornlr ★★★★★
()

Я всегда думал, что аур модерируется и пкгбилды и скрипты там проверяют перед тем как поместить.

Deleted
()
Ответ на: комментарий от Deleted

Новые возможно просматриваются более внимательно. А тут обновление, ни каких ресурсов не хватит все изменения проверять.

mandala ★★★★★
()
Ответ на: комментарий от greenman

Стоп, это же вроде как 146 и 273. И желание наказать пиратов — не оправдание с точки зрения закона.

Или ты в переносном смысле?

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от fornlr

Ну, это все же троян, а не вирус. От троянов куда легче защититься, особенно на Linux с репозиториями — не использовать никаких, кроме официальных.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от fornlr

AUR банально хоститься на рачной инфраструктуре

А GitLab хоститься на M$/Google, например. Так что?

АУРная дребедень при определённых условиях отбора проходит в официальные Comunity репозитории

Для этого нужно стать TU, т.е. перестать быть безымянным мамкиным какиром.

post-factum ★★★★★
()
Ответ на: комментарий от post-factum

А GitLab хоститься на M$/Google, например. Так что?

А ничего — это провайдеры. А AUR — это пионерский неофициальный проект РАЧа.

Поэтому слово «никакого отношения» не уместно.

fornlr ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Емнип патч Бармина был в облачном клиенте, вполне бесплатном и официальном. Только у яндекса, или мейлрушников? Забыл.

imul ★★★★★
()
Ответ на: комментарий от post-factum

Для этого нужно стать TU, т.е. перестать быть безымянным мамкиным какиром.

Практически никакой связи. Да, маинтейнер в [community] — всегда TU. Но для того, что бы пакет туда попал, достаточно его (пакета) популярности и заинтересованности конкретного маинтейнера из [community] в поддержке этого пакета.

greenman ★★★★★
() автор топика
Последнее исправление: greenman (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.