epelpad

Detectados peligrosos scripts en repos de Arch Linux

Por David Díaz Villa


Detectados peligrosos scripts en repos de Arch Linux



A raíz de la denuncia de un usuario de reddit en un hilo del canal de archlinux, la comunidad ha detectado paquetes infectados en el repositorio AUR de Arch Linux.

El repositorio AUR de Arch Linux es un repositorio hecho por y para los usuarios de este sistema operativo. Contiene descripciones de paquetes conocidas técnicamente como PKGBUILDS, facilitando la compilación desde la fuente.

Es un repositorio muy útil que utiliza una gran parte de la comunidad, tanto desarrolladores como usuarios, pero no es completamente seguro. Al ser contenido producido por la propia comunidad, existe el riesgo de que algún usuario con malas intenciones intente infectar al resto de la comunidad, como ha sucedido.

Cabe destacar que en la página web del repositorio AUR indica claramente que los paquetes deben de ser comprobados una vez descargados, dado que no existe control de seguridad alguno al ser contenido externo a los desarrolladores oficiales de Arch Linux.

El 7 de junio, se modificó un paquete AUR con algún código malicioso, recordando a los usuarios de Arch Linux (y a los usuarios de Linux en general) que todos los paquetes generados por los usuarios deberían verificarse (cuando sea posible) antes de la instalación.

El paquete “ACRORED” se modificó el pasado 7 de Junio (2018), un paquete que no tenía desarrollador asignado, por lo que parecía un paquete obsoleto. Un usuario con nick “xeactor” lo modificó para incluir un curl que descargaba un script que realizaba una secuencia de comandos que interactuaban con systemd de manera periódica. No ha sido el único caso, también añadió el script a otros paquetes con más utilización.

En principio, el código añadido no realizaba nada perjudicial, únicamente intentaba recopilar información del sistema (ningún dato personal, sólo de la máquina como el modelo del procesador) y lo publicaba en pastebin.

En realidad, no llegó a funcionar, dado que ejecutaba el comando “uploader” en vez de “upload” para subir el archivo, por lo tanto daba error. No obstante, este usuario dejó la clave personal de pastebin en el script sin intentar ocultarla, lo que en principio quiere decir que ha demostrado lo que podría hacer (podría haber llegado a realizar una infección muy seria) un usuario con malas intenciones de verdad.

Por suerte, la comunidad no tardó demasiado en darse cuenta de la alteración de los paquetes y en no muchas horas, los paquetes se eliminaron (se restauraron los originales) y se bloqueó al usuario. Nuevamente recordaros que siempre hay que comprobar los paquetes que se descargan, sobre todo desde fuentes de tan poca fiabilidad como el repositorio AUR de Arch Linux.

A veces, ésta comprobación es complicada de realizar, pero siempre viene bien buscar información del paquete y en servidores y equipos en producción, no jugar con fuego.
















15 comentarios - Detectados peligrosos scripts en repos de Arch Linux

Uzumaki777 -7
y quien carajo usa esa virgueada?
Linux
claudiolabastida
jajaja
Erdrick2003 -1
@migue_143 Aguante Debian, prefiero los repositorios de oficiales de distros reconocidas, no estan dificil vulnerar un sitio web de una distro que usan 4 gatosm como paso en linux mint que cambiaron el iso a uno contaminado.
Zero527
@Uzumaki777 no me hagan instalar freebsd papus
retardelius +2
Resumen lvl 5:

Fecha de la info 12/07/18

...el código añadido no realizaba nada perjudicial...

.no llegó a funcionar, dado que ejecutaba el comando “uploader” en vez de “upload” para subir el archivo.

. la comunidad no tardó demasiado en darse cuenta de la alteración de los paquetes... los paquetes se eliminaron (se restauraron los originales)
1mas1iguala3 +2
es como un plan malefico para hacer explotar una bomba, pero no sabes como encenderla
Erdrick2003 +1
@1mas1iguala3 ni eso, el paquete no hacia nada malo, es mas bien como un plan malefico para comprar todos los ingredientes de una bomba pero no sabes donde los venden y si pudieses comprarlos tampoco sabrias como ensamblarla.
migue_143
Por eso hay que ver bien los PKGBUILD antes de instalar, yo no les daba mucha bola
Zero527
o sacar los hash de las isos
exxekiel +1
Este es medio trabajoso instalarlo. Primero lo practique en una maquin virtual, luego pasé a una maquina real. La verdad que es ideal para esas pc's viejas o que tienen muy bajos recursos, uno de los SO mas ligeros
Snifflez
Pero compilar algunos paquetas en arch consume tiempo y procesador, solo por eso deje de usarlo.
Zero527
un troesma tardaba 2 días en una netbook
karaguay
Aguante void linux vieja.
-Musul-Man-
Yo no entiendo nada, que antivirus me recomiendan??

Tengo que borrar el system 32 acaso??
PanicBlooms +1
>systemd
AJAJAJ, eso con gentoo no pasa.
fedebust
Anarchy Linux cerró, según dicen "por ahora" y tememos los que usamos ese instalador que hayan aprovechado esta circunstancia para salir por la puerta grande... espero que no. Y tuve que volver a Manjaro. En fin!.
Zorronde +1
Hay problemas con las CPATCHAS
¿alguien SABE ALGO de ESTO ?
retardelius -1
No, todo anda bien...¿será que alguien se metió en tu computadora?
Zorronde +1
No hubo un gran problema en Taringa
Mi Pc. funciona perfectamente y No tiene VIRUS ni nada por el estilo
Mira aquí mismo y te enteraras de lo que paso
Saludos
AngelJoseHardy
Primero encuentran Malware en las buntu, ahora Scripts malintencionados en las arch, para ser franco yo ya ni sé con cuál distro quedarme.... (Trisquel será la próxima y última, aunque sea una buntu como base.....).
agustingauna527
Siempre reviso los pkgbuilds, nunca se sabe...
@fedebust No es mas facil instalar el archlinux normal y listo?
agustingauna527
@brokenrosexdoll Si, una vez instalado no puedo ni usar la placa por usb y la integrada la quiero activar con iwconfig "nombre de la interfaz" power on
Y me dice que la placa no esta preparada para eso (?)
Me conecto por la placa usb y con arch-chroot y no tengo problemas
migue_143 +1
@agustingauna527 Si te detecta la placa wifi anda todo bien solo tenés que configurarlo. Yo usé wpa_supplicant y wpa_password para la notebook, obviamente en la de escritorio con Ethernet no tuve problemas
agustingauna527
@brokenrosexdoll @migue_143 Con networkmanager me anduvieron las dos. Primero solo la usb y despues que instale cinnamon, me anduvo la integrada. Con nmcli no me pude conectar con la placa integrada, debe ser por configuracion. Se ve que cinnamon (la app que se encarga de las redes) configuro todo. Primero crei que seria el driver (lei que el oficial de hp daba problermas)...