編譯自: https://www.linuxuprising.com/2018/07/malware-found-on-arch-user-repository.html
7 月 7 日,有一個 AUR 軟件包被改入了一些惡意代碼,提醒 Arch Linux 用戶(以及一般的 Linux 用戶)在安裝之前應該儘可能檢查所有由用戶生成的軟件包。
AUR (即 Arch(Linux)用戶倉庫)包含包描述,也稱為 PKGBUILD,它使得從源代碼編譯包變得更容易。雖然這些包非常有用,但它們永遠不應被視為安全的,並且用戶應儘可能在使用之前檢查其內容。畢竟,AUR 在網頁中以粗體顯示 “AUR 包是用戶製作的內容。任何使用該提供的文件的風險由你自行承擔。”
這次 發現 包含惡意代碼的 AUR 包證明了這一點。 acroread 於 7 月 7 日(看起來它以前是“孤兒”,意思是它沒有維護者)被一位名為 “xeactor” 的用戶修改,它包含了一行從 pastebin 使用 curl 下載腳本的命令。然後,該腳本下載了另一個腳本並安裝了一個 systemd 單元以定期運行該腳本。
看來有 另外兩個 AUR 包以同樣的方式被修改。所有違規軟件包都已刪除,並暫停了用於上傳它們的用戶帳戶(它們註冊在更新軟件包的同一天)。
這些惡意代碼沒有做任何真正有害的事情 —— 它只是試圖上傳一些系統信息,比如機器 ID、uname -a 的輸出(包括內核版本、架構等)、CPU 信息、pacman 信息,以及 systemctl list-units(列出 systemd 單元信息)的輸出到 pastebin.com。我說“試圖”是因為第二個腳本中存在錯誤而沒有實際上傳系統信息(上傳函數為 “upload”,但腳本試圖使用其他名稱 “uploader” 調用它)。
此外,將這些惡意腳本添加到 AUR 的人將腳本中的個人 Pastebin API 密鑰以明文形式留下,再次證明他們真的不明白他們在做什麼。(LCTT 譯註:意即這是一個菜鳥“黑客”,還不懂得如何有經驗地隱藏自己。)
嘗試將此信息上傳到 Pastebin 的目的尚不清楚,特別是原本可以上傳更加敏感信息的情況下,如 GPG / SSH 密鑰。
更新: Reddit用戶 u/xanaxdroid_ 提及 同一個名為 “xeactor” 的用戶也發佈了一些加密貨幣挖礦軟件包,因此他推測 “xeactor” 可能正計劃添加一些隱藏的加密貨幣挖礦軟件到 AUR( 兩個月 前的一些 Ubuntu Snap 軟件包也是如此)。這就是 “xeactor” 可能試圖獲取各種系統信息的原因。此 AUR 用戶上傳的所有包都已刪除,因此我無法檢查。
另一個更新:你究竟應該在那些用戶生成的軟件包檢查什麼(如 AUR 中發現的)?情況各有不同,我無法準確地告訴你,但你可以從尋找任何嘗試使用 curl、wget和其他類似工具下載內容的東西開始,看看他們究竟想要下載什麼。還要檢查從中下載軟件包源的服務器,並確保它是官方來源。不幸的是,這不是一個確切的“科學做法”。例如,對於 Launchpad PPA,事情變得更加複雜,因為你必須懂得 Debian 如何打包,並且這些源代碼是可以直接更改的,因為它託管在 PPA 中並由用戶上傳的。使用 Snap 軟件包會變得更加複雜,因為在安裝之前你無法檢查這些軟件包(據我所知)。在後面這些情況下,作為通用解決方案,我覺得你應該只安裝你信任的用戶/打包器生成的軟件包。
via: https://www.linuxuprising.com/2018/07/malware-found-on-arch-user-repository.html
作者: Logix 選題: lujun9972 譯者: geekpi 校對: wxy
本文由 LCTT 原創編譯, Linux中國 榮譽推出
閱讀更多 Linux中國 的文章