Arch Linux Aur Informatica Malware Mondo Linux

Trovato (e subito rimosso) del malware in AUR

luglio 11, 2018 0

Del malware è stato trovato su AUR (Arch User Repository). Il malware è stato caricato nella giornata di sabato 7 luglio 2018 ma, fortunatamente, un utente ha segnalato la modifica malevola e ciò ha consentito il ripristino della vecchia copia da Git, neutralizzando così la minaccia.

I fatti

Su AUR ci sono diversi repository che non vengono più mantenuti aggiornati da parte dei loro manutentori. Questi repository possono essere rilevati da altri utenti per essere nuovamente aggiornati.

L'utente che utilizzava il nicknamen xeactor ha rilevato uno di questi repository e precisamente quello relativo a acroread. Una volta rilevato ha provveduto a modificarlo e ad aggiungergli del codice malevolo (che potete visualizzare sul commit Git).

Il meccanismo di azione del malware

Il malware caricato scaricava sul computer della vittima un primo file chiamato ~x (qui trovate il codice sorgente mentre qui la scansione con VirusTotal) che a sua volta andava a scaricare un altro file chiamato ~u (qui trovate il codice sorgente mentre qui la scansione con VirusTotal). Il file ~x, oltre a scaricare il file ~u, andava e a modificare systemd aggiungendogli un timer che consentiva l'esecuzione di ~u ogni 360 secondi.

Cosa faceva il malware?

Il file ~u raccoglieva alcuni dati dai sistemi infetti (la data, l'ora, l'ID della macchina, informazionu sulla CPU, dettagli di Pacman e l'output dei comandi "uname -a" e "systemctl list-units") e li copiava all'interno di un nuovo file su Pastebin utilizznado la chiave API Pastebin personalizzata dell'utente che ha creato il malware.

Non sono segnalate altre operazioni dannose in questa fase. Molto probabilmente stava soltanto raccogliendo dati per un successivo attacco o aggiornamento del pacchetto per distribuire altro codice malevolo.

Non solo quel pacchetto

Lo stesso autore aveva anche caricato un codice simile in altri due pacchetti di AUR e precisamente balz e minergate che sono stati anch'essi ripristinati.

State sereni

Ovviamente tutte le modifiche malevoli sono state annullate e l'account di xeactor è stato sospeso.

Via Bleeping Computer e Muflone

<script type="text/javascript" src="https://www.blogger.com/static/v1/widgets/517362887-widgets.js"></script>
<script type='text/javascript'>
window['__wavt'] = 'AOuZoY7aDpNZIdNT0h67d82wui16MngY9g:1713524532181';_WidgetManager._Init('//www.blogger.com/rearrange?blogID\x3d5217905409462795311','//www.marcosbox.org/2018/07/trovato-malware-aur.html','5217905409462795311');
_WidgetManager._SetDataContext([{'name': 'blog', 'data': {'blogId': '5217905409462795311', 'title': 'Marco\x27s Box', 'url': 'https://www.marcosbox.org/2018/07/trovato-malware-aur.html', 'canonicalUrl': 'https://www.marcosbox.org/2018/07/trovato-malware-aur.html', 'homepageUrl': 'https://www.marcosbox.org/', 'searchUrl': 'https://www.marcosbox.org/search', 'canonicalHomepageUrl': 'https://www.marcosbox.org/', 'blogspotFaviconUrl': 'https://www.marcosbox.org/favicon.ico', 'bloggerUrl': 'https://www.blogger.com', 'hasCustomDomain': true, 'httpsEnabled': true, 'enabledCommentProfileImages': true, 'gPlusViewType': 'FILTERED_POSTMOD', 'adultContent': false, 'analyticsAccountNumber': '', 'encoding': 'UTF-8', 'locale': 'it', 'localeUnderscoreDelimited': 'it', 'languageDirection': 'ltr', 'isPrivate': false, 'isMobile': false, 'isMobileRequest': false, 'mobileClass': '', 'isPrivateBlog': false, 'isDynamicViewsAvailable': true, 'feedLinks': '\x3clink rel\x3d\x22alternate\x22 type\x3d\x22application/atom+xml\x22 title\x3d\x22Marco\x26#39;s Box - Atom\x22 href\x3d\x22https://www.marcosbox.org/feeds/posts/default\x22 /\x3e\n\x3clink rel\x3d\x22alternate\x22 type\x3d\x22application/rss+xml\x22 title\x3d\x22Marco\x26#39;s Box - RSS\x22 href\x3d\x22https://www.marcosbox.org/feeds/posts/default?alt\x3drss\x22 /\x3e\n\x3clink rel\x3d\x22service.post\x22 type\x3d\x22application/atom+xml\x22 title\x3d\x22Marco\x26#39;s Box - Atom\x22 href\x3d\x22https://www.blogger.com/feeds/5217905409462795311/posts/default\x22 /\x3e\n\n\x3clink rel\x3d\x22alternate\x22 type\x3d\x22application/atom+xml\x22 title\x3d\x22Marco\x26#39;s Box - Atom\x22 href\x3d\x22https://www.marcosbox.org/feeds/7862094243895603418/comments/default\x22 /\x3e\n', 'meTag': '', 'adsenseClientId': 'ca-pub-5155408316214367', 'adsenseHostId': 'ca-host-pub-1556223355139109', 'adsenseHasAds': true, 'adsenseAutoAds': true, 'boqCommentIframeForm': true, 'loginRedirectParam': '', 'view': '', 'dynamicViewsCommentsSrc': '//www.blogblog.com/dynamicviews/4224c15c4e7c9321/js/comments.js', 'dynamicViewsScriptSrc': '//www.blogblog.com/dynamicviews/d86c8c5eadffdf93', 'plusOneApiSrc': 'https://apis.google.com/js/platform.js', 'disableGComments': true, 'interstitialAccepted': false, 'sharing': {'platforms': [{'name': 'Ottieni link', 'key': 'link', 'shareMessage': 'Ottieni link', 'target': ''}, {'name': 'Facebook', 'key': 'facebook', 'shareMessage': 'Condividi in Facebook', 'target': 'facebook'}, {'name': 'Postalo sul blog', 'key': 'blogThis', 'shareMessage': 'Postalo sul blog', 'target': 'blog'}, {'name': 'Twitter', 'key': 'twitter', 'shareMessage': 'Condividi in Twitter', 'target': 'twitter'}, {'name': 'Pinterest', 'key': 'pinterest', 'shareMessage': 'Condividi in Pinterest', 'target': 'pinterest'}, {'name': 'Email', 'key': 'email', 'shareMessage': 'Email', 'target': 'email'}], 'disableGooglePlus': true, 'googlePlusShareButtonWidth': 0, 'googlePlusBootstrap': '\x3cscript type\x3d\x22text/javascript\x22\x3ewindow.___gcfg \x3d {\x27lang\x27: \x27it\x27};\x3c/script\x3e'}, 'hasCustomJumpLinkMessage': true, 'jumpLinkMessage': 'Leggi di pi\xf9 \xbb', 'pageType': 'item', 'postId': '7862094243895603418', 'pageName': 'Trovato (e subito rimosso) del malware in AUR', 'pageTitle': 'Marco\x27s Box: Trovato (e subito rimosso) del malware in AUR', 'metaDescription': 'Del malware \xe8 stato trovato su AUR (Arch User Repository). Il malware \xe8 stato caricato nella giornata di sabato 7 luglio 2018 ma, fortunatamente, un utente ha segnalato la modifica malevola e ci\xf2 ha consentito il ripristino della vecchia copia da Git, neutralizzando cos\xec la minaccia.'}}, {'name': 'features', 'data': {}}, {'name': 'messages', 'data': {'edit': 'Modifica', 'linkCopiedToClipboard': 'Link copiato negli appunti.', 'ok': 'OK', 'postLink': 'Link del post'}}, {'name': 'template', 'data': {'name': 'custom', 'localizedName': 'Personalizza', 'isResponsive': true, 'isAlternateRendering': false, 'isCustom': true}}, {'name': 'view', 'data': {'classic': {'name': 'classic', 'url': '?view\x3dclassic'}, 'flipcard': {'name': 'flipcard', 'url': '?view\x3dflipcard'}, 'magazine': {'name': 'magazine', 'url': '?view\x3dmagazine'}, 'mosaic': {'name': 'mosaic', 'url': '?view\x3dmosaic'}, 'sidebar': {'name': 'sidebar', 'url': '?view\x3dsidebar'}, 'snapshot': {'name': 'snapshot', 'url': '?view\x3dsnapshot'}, 'timeslide': {'name': 'timeslide', 'url': '?view\x3dtimeslide'}, 'isMobile': false, 'title': 'Trovato (e subito rimosso) del malware in AUR', 'description': 'Del malware \xe8 stato trovato su AUR (Arch User Repository). Il malware \xe8 stato caricato nella giornata di sabato 7 luglio 2018 ma, fortunatamente, un utente ha segnalato la modifica malevola e ci\xf2 ha consentito il ripristino della vecchia copia da Git, neutralizzando cos\xec la minaccia.', 'url': 'https://www.marcosbox.org/2018/07/trovato-malware-aur.html', 'type': 'item', 'isSingleItem': true, 'isMultipleItems': false, 'isError': false, 'isPage': false, 'isPost': true, 'isHomepage': false, 'isArchive': false, 'isLabelSearch': false, 'postId': 7862094243895603418}}, {'name': 'widgets', 'data': [{'title': 'Marco\x27s Box (Intestazione)', 'type': 'Header', 'sectionId': 'header', 'id': 'Header51'}, {'title': 'Menu', 'type': 'PageList', 'sectionId': 'header', 'id': 'PageList51'}, {'title': 'Breaking News', 'type': 'PopularPosts', 'sectionId': 'header', 'id': 'PopularPosts51', 'posts': [{'title': 'The Microsoft-Dilemma - Europe as a Software Colony - documentario completo', 'id': 1358052478241666915}, {'title': 'Mozilla rilascia Firefox 125.0.1', 'id': 4239345828631956340}, {'title': 'Posta ingombrante', 'id': 1833177187091709263}, {'title': 'APT 3.0 introdurr\xe0 una nuova interfaccia utente colorata', 'id': 832804103342936057}, {'title': 'Rilasciato LXQt 2.0', 'id': 3638217459908766465}, {'title': 'System76 ci aggiorna su COSMIC', 'id': 1090258439006240615}, {'title': 'Aggiornamento feed rss del blog', 'id': 8299691350380295514}, {'title': 'Come usare la Chromecast senza linea fissa sfruttando il tethering WiFi di Android/iOS', 'id': 2693170031791368304}, {'title': 'Ubuntu 24.04 LTS: la versione Beta \xe8 ora disponibile per i test', 'id': 8486226381063237495}, {'title': 'Ubuntu 22.04 LTS: Guida post installazione', 'id': 3584718352889148541}]}, {'title': 'Post del blog', 'type': 'Blog', 'sectionId': 'Hero', 'id': 'Blog99', 'posts': [{'id': '7862094243895603418', 'title': 'Trovato (e subito rimosso) del malware in AUR', 'showInlineAds': false}], 'footerBylines': [{'regionName': 'footer1', 'items': [{'name': 'author', 'label': 'Pubblicato da'}, {'name': 'timestamp', 'label': 'alle'}, {'name': 'comments', 'label': 'commenti'}]}, {'regionName': 'footer2', 'items': [{'name': 'labels', 'label': 'Etichette:'}]}, {'regionName': 'footer3', 'items': [{'name': 'location', 'label': 'Ubicazione:'}]}], 'allBylineItems': [{'name': 'author', 'label': 'Pubblicato da'}, {'name': 'timestamp', 'label': 'alle'}, {'name': 'comments', 'label': 'commenti'}, {'name': 'labels', 'label': 'Etichette:'}, {'name': 'location', 'label': 'Ubicazione:'}]}, {'title': 'Post del blog', 'type': 'Blog', 'sectionId': 'Content', 'id': 'Blog1', 'posts': [{'id': '7862094243895603418', 'title': 'Trovato (e subito rimosso) del malware in AUR', 'showInlineAds': false}], 'footerBylines': [{'regionName': 'footer1', 'items': [{'name': 'author', 'label': 'Postato da'}, {'name': 'timestamp', 'label': 'il'}, {'name': 'comments', 'label': 'comments'}, {'name': 'share', 'label': ''}]}, {'regionName': 'footer2', 'items': [{'name': 'labels', 'label': ''}]}], 'allBylineItems': [{'name': 'author', 'label': 'Postato da'}, {'name': 'timestamp', 'label': 'il'}, {'name': 'comments', 'label': 'comments'}, {'name': 'share', 'label': ''}, {'name': 'labels', 'label': ''}]}, {'title': 'Cerca', 'type': 'BlogSearch', 'sectionId': 'sidebar', 'id': 'BlogSearch51'}, {'title': 'Seguimi sui social', 'type': 'LinkList', 'sectionId': 'sidebar', 'id': 'LinkList2'}, {'title': 'Supporta il blog con una donazione', 'type': 'HTML', 'sectionId': 'sidebar', 'id': 'HTML2'}, {'title': 'O usando il mio codice referral marcosbox-21 su Amazon', 'type': 'Image', 'sectionId': 'sidebar', 'id': 'Image4'}, {'title': 'Hai bisogno di una VPN?', 'type': 'Image', 'sectionId': 'sidebar', 'id': 'Image1'}, {'title': 'Filtra per sistema operativo', 'type': 'Label', 'sectionId': 'sidebar', 'id': 'Label1'}, {'title': 'Ultimo articolo', 'type': 'FeaturedPost', 'sectionId': 'sidebar', 'id': 'FeaturedPost51', 'postId': '4878084779358723340'}, {'title': 'Example', 'type': 'HTML', 'sectionId': 'sidebar-post', 'id': 'HTML55'}, {'title': 'Example', 'type': 'HTML', 'sectionId': 'sidebar-page', 'id': 'HTML56'}, {'title': 'Per tipo', 'type': 'Label', 'sectionId': 'Filters', 'id': 'Label51'}, {'title': 'Per colore', 'type': 'Label', 'sectionId': 'Filters', 'id': 'Label52'}, {'title': 'Modo', 'type': 'Text', 'sectionId': 'Filters', 'id': 'Text52'}, {'title': 'Orden', 'type': 'Text', 'sectionId': 'Filters', 'id': 'Text53'}, {'title': 'Termini', 'type': 'BlogSearch', 'sectionId': 'Filters', 'id': 'BlogSearch52'}, {'title': 'Post del blog', 'type': 'Blog', 'sectionId': 'Purchase', 'id': 'Blog100', 'posts': [{'id': '7862094243895603418', 'title': 'Trovato (e subito rimosso) del malware in AUR', 'showInlineAds': false}], 'footerBylines': [{'regionName': 'footer1', 'items': [{'name': 'author', 'label': 'Pubblicato da'}, {'name': 'timestamp', 'label': 'alle'}, {'name': 'comments', 'label': 'commenti'}]}, {'regionName': 'footer2', 'items': [{'name': 'labels', 'label': 'Etichette:'}]}, {'regionName': 'footer3', 'items': [{'name': 'location', 'label': 'Ubicazione:'}]}], 'allBylineItems': [{'name': 'author', 'label': 'Pubblicato da'}, {'name': 'timestamp', 'label': 'alle'}, {'name': 'comments', 'label': 'commenti'}, {'name': 'labels', 'label': 'Etichette:'}, {'name': 'location', 'label': 'Ubicazione:'}]}, {'title': 'Copyright', 'type': 'HTML', 'sectionId': 'footer-upper', 'id': 'HTML57'}, {'title': 'Licenza', 'type': 'HTML', 'sectionId': 'footer-1', 'id': 'HTML4'}, {'title': 'Disclaimer', 'type': 'HTML', 'sectionId': 'footer-2', 'id': 'HTML5'}, {'title': 'Feed RSS', 'type': 'LinkList', 'sectionId': 'footer-3', 'id': 'LinkList1'}, {'title': 'Footer links', 'type': 'PageList', 'sectionId': 'footer-lower', 'id': 'PageList52'}]}]);
_WidgetManager._RegisterWidget('_HeaderView', new _WidgetInfo('Header51', 'header', document.getElementById('Header51'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_PageListView', new _WidgetInfo('PageList51', 'header', document.getElementById('PageList51'), {'title': 'Menu', 'links': [{'isCurrentPage': false, 'href': 'http://www.marcosbox.org/', 'title': 'Home page'}, {'isCurrentPage': false, 'href': 'https://www.marcosbox.org/p/un-po-di-me.html', 'id': '7340278451601295166', 'title': 'About me'}, {'isCurrentPage': false, 'href': 'https://www.marcosbox.org/p/privacy-cookie.html', 'id': '4972527334792995709', 'title': 'Privacy, Cookie e GDPR'}], 'mobile': false, 'showPlaceholder': true, 'hasCurrentPage': false}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_PopularPostsView', new _WidgetInfo('PopularPosts51', 'header', document.getElementById('PopularPosts51'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_BlogView', new _WidgetInfo('Blog99', 'Hero', document.getElementById('Blog99'), {'cmtInteractionsEnabled': false, 'lightboxEnabled': true, 'lightboxModuleUrl': 'https://www.blogger.com/static/v1/jsbin/1918749330-lbx__it.js', 'lightboxCssUrl': 'https://www.blogger.com/static/v1/v-css/13464135-lightbox_bundle.css'}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_BlogView', new _WidgetInfo('Blog1', 'Content', document.getElementById('Blog1'), {'cmtInteractionsEnabled': false, 'lightboxEnabled': true, 'lightboxModuleUrl': 'https://www.blogger.com/static/v1/jsbin/1918749330-lbx__it.js', 'lightboxCssUrl': 'https://www.blogger.com/static/v1/v-css/13464135-lightbox_bundle.css'}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_BlogSearchView', new _WidgetInfo('BlogSearch51', 'sidebar', document.getElementById('BlogSearch51'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_LinkListView', new _WidgetInfo('LinkList2', 'sidebar', document.getElementById('LinkList2'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_HTMLView', new _WidgetInfo('HTML2', 'sidebar', document.getElementById('HTML2'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_ImageView', new _WidgetInfo('Image4', 'sidebar', document.getElementById('Image4'), {'resize': true}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_ImageView', new _WidgetInfo('Image1', 'sidebar', document.getElementById('Image1'), {'resize': false}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_LabelView', new _WidgetInfo('Label1', 'sidebar', document.getElementById('Label1'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_FeaturedPostView', new _WidgetInfo('FeaturedPost51', 'sidebar', document.getElementById('FeaturedPost51'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_HTMLView', new _WidgetInfo('HTML55', 'sidebar-post', document.getElementById('HTML55'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_HTMLView', new _WidgetInfo('HTML56', 'sidebar-page', document.getElementById('HTML56'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_LabelView', new _WidgetInfo('Label51', 'Filters', document.getElementById('Label51'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_LabelView', new _WidgetInfo('Label52', 'Filters', document.getElementById('Label52'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_TextView', new _WidgetInfo('Text52', 'Filters', document.getElementById('Text52'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_TextView', new _WidgetInfo('Text53', 'Filters', document.getElementById('Text53'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_BlogSearchView', new _WidgetInfo('BlogSearch52', 'Filters', document.getElementById('BlogSearch52'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_BlogView', new _WidgetInfo('Blog100', 'Purchase', document.getElementById('Blog100'), {'cmtInteractionsEnabled': false, 'lightboxEnabled': true, 'lightboxModuleUrl': 'https://www.blogger.com/static/v1/jsbin/1918749330-lbx__it.js', 'lightboxCssUrl': 'https://www.blogger.com/static/v1/v-css/13464135-lightbox_bundle.css'}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_HTMLView', new _WidgetInfo('HTML57', 'footer-upper', document.getElementById('HTML57'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_HTMLView', new _WidgetInfo('HTML4', 'footer-1', document.getElementById('HTML4'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_HTMLView', new _WidgetInfo('HTML5', 'footer-2', document.getElementById('HTML5'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_LinkListView', new _WidgetInfo('LinkList1', 'footer-3', document.getElementById('LinkList1'), {}, 'displayModeFull'));
_WidgetManager._RegisterWidget('_PageListView', new _WidgetInfo('PageList52', 'footer-lower', document.getElementById('PageList52'), {'title': 'Footer links', 'links': [{'isCurrentPage': false, 'href': 'http://www.marcosbox.org/', 'title': 'Home page'}], 'mobile': false, 'showPlaceholder': true, 'hasCurrentPage': false}, 'displayModeFull'));
</script>
</body>