Arch LinuxAurInformaticaMalwareMondo Linux

Trovato (e subito rimosso) del malware in AUR

Del malware è stato trovato su AUR (Arch User Repository). Il malware è stato caricato nella giornata di sabato 7 luglio 2018 ma, fortunatamente, un utente ha segnalato la modifica malevola e ciò ha consentito il ripristino della vecchia copia da Git, neutralizzando così la minaccia.

I fatti

Su AUR ci sono diversi repository che non vengono più mantenuti aggiornati da parte dei loro manutentori. Questi repository possono essere rilevati da altri utenti per essere nuovamente aggiornati.
L’utente che utilizzava il nicknamen xeactor ha rilevato uno di questi repository e precisamente quello relativo a acroread. Una volta rilevato ha provveduto a modificarlo e ad aggiungergli del codice malevolo (che potete visualizzare sul commit Git).

Il meccanismo di azione del malware

Il malware caricato scaricava sul computer della vittima un primo file chiamato ~x (qui trovate il codice sorgente mentre qui la scansione con VirusTotal) che a sua volta andava a scaricare un altro file chiamato ~u (qui trovate il codice sorgente mentre qui la scansione con VirusTotal). Il file ~x, oltre a scaricare il file ~u, andava e a modificare systemd aggiungendogli un timer che consentiva l’esecuzione di ~u ogni 360 secondi.

Cosa faceva il malware?

Il file ~u raccoglieva alcuni dati dai sistemi infetti (la data, l’ora, l’ID della macchina, informazionu sulla CPU, dettagli di Pacman e l’output dei comandi “uname -a” e “systemctl list-units”) e li copiava all’interno di un nuovo file su Pastebin utilizznado la chiave API Pastebin personalizzata dell’utente che ha creato il malware.
Non sono segnalate altre operazioni dannose in questa fase. Molto probabilmente stava soltanto raccogliendo dati per un successivo attacco o aggiornamento del pacchetto per distribuire altro codice malevolo.

Non solo quel pacchetto

Lo stesso autore aveva anche caricato un codice simile in altri due pacchetti di AUR e precisamente balz e minergate che sono stati anch’essi ripristinati.

State sereni

Ovviamente tutte le modifiche malevoli sono state annullate e l’account di xeactor è stato sospeso. 

Marco Giannini

Quello del pacco / fondatore di Marco’s Box