BREAKING NEWS

Primero fue Ubuntu y ahora es el turno de Arch Linux, el malware se cuela en los repositorios AUR

Se ha descubierto malware en tres repositorios AUR, que son creados por usuarios de la comunidad de la distribución Arch Linux para ofrecer software adicional que se puede instalar en el mencionado sistema operativo, el cual destaca por ser rolling release (soporte “infinito” en el tiempo) y estar orientado a usuarios avanzados.

Al parecer, un usuario de reciente creación llamado Xeactor habría modificado tres repositorios AUR añadiéndoles un malware con el fin de recopilar datos de los ordenadores en los que se terminase instalando los programas o aplicaciones modificados. Al menos uno de los repositorios estaba considerado como huérfano hasta que fue adoptado por Xeactor para llevar a cabo actividades maliciosas.

Para los que anden perdidos, un AUR (Arch User Repository) es un repositorio promovido por los usuarios de la comunidad de Arch Linux, el cual contiene descripciones de los paquetes llamadas “PKGBUILD” que le permiten compilar un paquete desde el código fuente con “makepkg” y luego instalarlo mediante Pacman, el gestor de paquetes utilizado por defecto en la distribución, que además goza de buena reputación en la comunidad Linux.

Sin embargo, parece que el hacker detrás de estos repositorios maliciosos no destaca por ser muy habilidoso, ya que en los scripts que se encargan del proceso de recopilación de datos, que abarca el ID de la máquina, la salida producida mediante los comandos “uname -a” y “systemctl list-units”, la información de la CPU y la información de Pacman, hay un fallo derivado de hacer mención a una función que no existe, ya que se llama a upload cuando lo declarado fue uploader, por lo que el proceso falla y no termina por llevarse a cabo. Otro dato importante es que la clave personal de la API de Pastebin pegada en texto plano en uno de los scripts, lo que deja en evidencia que los programadores que están detrás de esto no tienen mucha idea.

Los repositorios AUR fueron modificados mediante la inclusión de un comando “curl” para descargar un script desde Pastebin. Luego este script descargaba otro e instalaba una unidad de systemd para programar una ejecución periódica. Además de esto, en Reddit se ha destapado que Xeactor había publicado paquetes con mineros maliciosos para posiblemente implantarlos en instalaciones de Arch Linux. Tras descubrirse el pastel, como es obvio, la comunidad tras la distribución decidió suspender la cuenta y eliminar los paquetes malintencionados.

Fuente: https://www.linuxuprising.com