Trovato (e subito rimosso) del malware in AUR
Del malware è stato trovato su AUR (Arch Linux Repository). Il malware è stato caricato nella giornata di sabato 7 luglio ma, fortunatamente, la minaccia è stata subito neutralizzata dal team che gestisce AUR.
I fatti
Su AUR ci sono diversi repository che non vengono più mantenuti aggiornati da parte dei loro manutentori. Questi repository possono essere rilevati da altri utenti per essere nuovamente aggiornati.
L’utente che utilizzava il nicknamen xeactor ha rilevato uno di questi repository e precisamente quello relativo a acroread. Una volta rilevato ha provveduto a modificarlo e ad aggiungergli del codice malevolo (che potete visualizzare sul commit Git).
Il meccanismo di azione del malware
Il malware caricato scaricava sul computer della vittima un primo file chiamato ~x (qui trovate il codice sorgente mentre qui la scansione con VirusTotal) che a sua volta andava a scaricare un altro file chiamato ~u (qui trovate il codice sorgente mentre qui la scansione con VirusTotal). Il file ~x, oltre a scaricare il file ~u, andava e a modificare systemd aggiungendogli un timer che consentiva l’esecuzione di ~u ogni 360 secondi.
Cosa faceva il malware?
Il file ~u raccoglieva alcuni dati dai sistemi infetti (la data, l’ora, l’ID della macchina, informazionu sulla CPU, dettagli di Pacman e l’output dei comandi “uname -a” e “systemctl list-units”) e li copiava all’interno di un nuovo file su Pastebin utilizznado la chiave API Pastebin personalizzata dell’utente che ha creato il malware.
Non sono segnalate altre operazioni dannose in questa fase. Molto probabilmente stava soltanto raccogliendo dati per un successivo attacco o aggiornamento del pacchetto per distribuire altro codice malevolo.
Non solo quel pacchetto
Lo stesso autore aveva anche caricato un codice simile in altri due pacchetti di AUR ma attualmente, il team di AUR, non ha rivelato quali sono.
State sereni
Ovviamente tutte le modifiche malevoli sono state annullate e l’account di xeactor è stato sospeso.
Visited 3 times, 1 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.
Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Scopri le ultime offerte per dischi ssd su 
Scopri le ultime offerte per memorie RAM DDR su
Scopri le ultime offerte per Chromebook su
Scopri le ultime offerte per Raspberry su
![[GUIDA] Modificare le applicazioni di Default su Ubuntu](https://www.laseroffice.it/img/Blog/Agggnulinux.png "[GUIDA] Modificare le applicazioni di Default su Ubuntu")
