พบมัลแวร์ในแพ็กเกจ Arch Linux ที่อยู่บน Arch User Respository

พบมัลแวร์ฝังอยู่ในแพ็กเกจ Arch Linux จำนวน 3 แพ็กเกจ (Distribution หนึ่งของ Linux ที่มีเครื่องมือติดมาน้อยมากๆ) ที่อยู่บน AUR หรือ Arch User Repository ที่สามารถหาดาวน์โหลดตัวแพ็กเกจ Arch เหล่านี้  อย่างไรก็ตามทางทีมงานของ AUR สามารถจัดการได้อย่างรวดเร็ว

Credit: ShutterStock.com

เหตุการณ์เกิดขึ้นเพราะ AUR จะอนุญาตให้ใครก็ตามสามารถเข้าดูแลโปรเจ็คที่ถูกทิ้งร้างโดยผู้เขียนต้นฉบับ จึงเป็นที่มาให้มีผู้ใช้คนหนึ่งนามแฝงว่า ‘xeactor’ เข้าไปยึดโปรเจ็คที่ชื่อ ‘acroread’ ซึ่งช่วยให้ผู้ใช้ Arch Linux เรียกดูไฟล์ PDF ได้ จากนั้นคนร้ายก็ได้เพิ่มโค้ดอันตรายที่เข้าไปดาวน์โหลดไฟล์ ‘ ~x’ จาก ptpb.pw เว็บไซต์ที่ลอกเลียน Pastebin (เป็นบริการที่ให้ผู้ใช้งานแชร์เนื้อหา Text ได้)

โดยถ้าหากผู้ใช้เริ่มติดตั้งแพ็กเกจของคนร้ายเครื่องคอมพิวเตอร์ของเหยื่อจะไปดาวน์โหลดและรันไฟล์ดังกล่าว ซึ่งในเวลาต่อมาก็จะไปเรียกไฟล์อีกตัวที่ชื่อ ‘~u’ อันที่จริงแล้วความตั้งใจของคนร้ายคือ ~x จะเข้าไปแก้ไข Systemd และเพิ่มตัวจับเวลาให้รันไฟล์ ~u ทุก 5 นาทีนั่นเอง ในส่วนวัตถุประสงค์ของไฟล์ ~u ก็ไม่ได้รุนแรงมากนักเพียงแต่ไปดึงข้อมูลของเครื่องเหยื่อ เช่น วันเวลา ID เครื่อง  รายละเอียด CPU และตัวจัดการแพ็กเกจ รวมถึงผลลัพธ์ของคำสั่ง uname -a และ systemcl list-units ไปโพสต์ไว้ในไฟล์ Pastebin ผ่าน API ที่ถูกคนร้ายปรับแต่งมาแล้ว

อย่างไรก็ตามทีม AUR ก็พบแพ็กเกจอื่นภายใต้การดูแลของ xeactor อีก 2 ตัวทั้งหมดมีดังนี้ acroread 9.5.58, balz 1.20-3 และ minergate 8.1-2 นอกจากนี้ทีมงานได้จัดการไฟล์ที่ถูกแทรกแซงเรียบร้อยและบัญชี xeactor ก็โดนหยุดไว้แล้วเช่นกัน สำหรับผู้ที่สับสนคือไฟล์จาก AUR นั้นถูกส่งมาโดยผู้ใช้งานทั่วไปซึ่งทางทีมงานก็แจ้งไว้แล้วว่าให้ตรวจสอบให้ดี และอีกที่หนึ่งคือ Arch Building System (ABS) หรือจุดดาวน์โหลดแพ็กเกจแบบเป็นทางการมาจากต้นทางที่เชื่อถือได้

ที่มา : https://www.bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository/

from:https://www.techtalkthai.com/malicious-arch-linux-were-found-on-user-respository/

Advertisements