Un malware ha sido descubierto en el el repositorio oficial de Arch Linux (AUR, Arch User Repository). El código malicioso ha sido removido del repositorio gracias a la rápida acción del equipo de AUR.
El incidente ocurrió porque AUR le permite a cualquiera hacerse cargo de repositorios "huérfanos" que han sido abandonados por sus autores originales.
El sábado, un usuario que utilizaba el seudónimo de "xeactor" se hizo cargo de un paquete huérfano llamado "acroread" que permite a los usuarios de Arch Linux ver los archivos PDF.
De acuerdo a los registros de Git, xeactor agregó un código malicioso que descargaría un archivo llamado "~ x" de ptpb.pw, un sitio liviano que imita a Pastebin y permite a los usuarios compartir pequeños fragmentos de texto.
Cuando el usuario instale el paquete de xeactor, la PC del usuario descargaría y ejecutaría el archivo ~ x que luego descargaría y ejecutaría otro archivo llamado "~ u".
Además de descargar ~ u, el propósito principal del primer archivo (~ x) era también modificar systemd y agregar un temporizador para ejecutar el archivo ~ u cada 360 segundos.
El objetivo del segundo archivo (~ u) era recopilar datos sobre cada sistema infectado y publicar estos detalles dentro de un nuevo archivo Pastebin, utilizando la clave API de Pastebin personalizada del atacante.
Los datos recopilados incluyen detalles tales como la fecha y la hora, la ID de la máquina, la información de la CPU, los detalles de Pacman (administrador de paquetes) y las salidas de los comandos "uname -a" y "systemctl list-units".
No se observaron otras acciones maliciosas, lo que significa que el paquete acroread no estaba dañando los sistemas de los usuarios, sino que simplemente recopilaba datos en preparación para otra cosa.
No se incluye un mecanismo de auto actualización, lo que significa que xeactor habría necesitado una segunda actualización de paquete Acroread para implementar código más intrusivo o potencialmente otra cepa de malware.
El equipo de AUR también dijo que encontró un código similar en otros dos paquetes que el usuario de xeactor había asumido recientemente. Se sabe que los siguientes paquetes y versiones se vieron afectados:
acroread 9.5.5-8
balz 1.20-3
minergate 8.1-2
Todos los cambios maliciosos en los tres paquetes se han revertido y la cuenta de xeactor se ha suspendido. El repositorio de AUR no se debe confundir con los paquetes oficiales en el Sistema de compilación de archivos (ABS). Los paquetes de AUR son generados por los usuarios y enviados al repositorio, mientras que los paquetes de ABS son paquetes oficiales de fuentes confiables. El equipo de Arch Linux ha advertido a los usuarios durante años sobre la verificación de cada paquete AUR antes de instalarlo.
El equipo de Arch Linux es la segunda distribución de Linux que ha encontrado malware en su repositorio de paquetes enviado por el usuario este año. En mayo, el equipo de Ubuntu Store encontró un minero de criptomonedas escondido en un paquete de Ubuntu llamado 2048buntu.
BleepingComputer
