Xakep #305. Многошаговые SQL-инъекции
В официальном пользовательском репозитории Arch Linux (Arch User Repository, AUR) нашли сразу три вредоносных пакета.
Проблему обнаружили сами разработчики AUR. Дело в том, что в пользовательском репозитории любой желающий может перехватить контроль над «осиротевшими» проектами, которые были заброшены своими оригинальными разработчиками. В минувшие выходные пользователь xeactor таким образом перехватил контроль над пакетом acroread, исходно предназначенном для работы с файлами PDF в Arch Linux.
Получив управление, xeactor внедрил в пакет вредоносный код, который загружал файл «~x» (VirusTotal, исходный код) с сайта ptpb.pw, — ресурса, похожего на Pastebin, где пользователи могут размещать текстовые данные. В итоге, загрузка пакета и выполнение файла ~x приводили к скачиванию и запуску еще одного файла: «~u» [VirusTotal, исходный код].
Однако загрузка ~u не являлась единственной задачей ~x, помимо этого ~x вносил изменения в systemd и добавлял таймер запуска ~u с интервалом 360 секунд. В свою очередь, сам ~u собирал данные о зараженных системах (протоколировались дата и время, ID машины, информация о CPU, детали Pacman, а также результат выполнения команд uname -a и systemctl list-units). Затем информация заливалась в файл Pastebin, используя кастомный API-ключ атакующего.
Иной вредоносной активности выявлено не было, и разработчики предполагают, что успели поймать злоумышленника «с поличным» еще на стадии подготовки и сбора данных. На следующем этапе преступник, скорее всего, перешел бы к активным действиям, собрав достаточно статистики и выбрав наиболее подходящий вектор атак.
Похожий вредоносный код был обнаружен еще в двух пакетах, над которыми недавно тоже поработал xeactor. В итоге заражены оказались:
- acroread 9.5.5-8;
- balz 1.20-3;
- minergate 8.1-2.
В настоящее время изменения пакетов уже откатили (вредоносный код был активен лишь несколько часов), а аккаунт xeactor был заблокирован.