Autor Thema: Malware im Arch-User-Repositorium AUR  (Gelesen 98 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline jeckus

  • Neuling
  • *
  • Beiträge: 3
  • Skill: Anfänger
Malware im Arch-User-Repositorium AUR
« am: 10. Juli 2018, 14:05:55 »
Am vergangenen Wochenende wurde Malware in einigen Paketen des Arch-User-Repositoriums AUR entdeckt. Unklar bleibt der Zweck des gefundenen Codes.

Von Ferdinand Thommes

 
ARCHLINUX.ORG

Arch warnt auf seiner Webseite: »AUR-Pakete sind benutzerdefinierte Inhalte. Die Nutzung der zur Verfügung gestellten Dateien erfolgt auf eigene Gefahr«. Dass die Warnung ernstzunehmen ist und die PKGBUILD-Dateien im AUR, dem Arch-Repository mit von Anwendern erstellten und betreuten Paketen, vor der Installation immer überprüft werden sollten, sofern dem Ersteller nicht vertraut wird, erwies sich am Wochenende mit dem Auftauchen von Malware-Code im Paket acroread. Ein aufmerksamer Anwender hatte das Paket gemeldet. Was der Ersteller damit bezweckte, kann man nur vermuten.
Das kompromittierte, vorher eine Zeitlang verwaiste Paket war von einem Anwender mit dem Nickname »xeactor« übernommen worden. Er hatte ein Skript eingefügt, das einen Systemd-Dienst anlegt, der gesammelte technische Daten über das betroffene System sammelt und an ein Pastebin sendet. Allerdings machte »xeactor« einen Fehler, denn sein Skript funktionierte nicht wie gedacht. Zwei weitere Pakete waren in gleicher Weise kompromittiert. Alle betroffenen Pakete sind mittlerweile entfernt und »xeactor« gesperrt.

Das Script wertete unter anderem Befehle wie uname -a und systemctl list-units aus und sammelte Informationen über CPU, Machine ID und Pacman, um sie an ein Pastebin zu senden. Ein zweites aufgerufenes Script sollte das Versenden übernehmen, schlug aber fehl, da anstelle der Funktion upload die Bezeichnung uploader verwendet wurde. Was »xeactor« bezweckte, bleibt unklar. Die ausgelesenen Informationen hätten im schlimmsten Fall auch GPG- oder SSH-Schlüssel betreffen können, waren aber ziemlich harmlos.

Da der Name »xeactor« aber auch schon im Zusammenhang mit Cryptomining-Malware aufgetaucht war, gehen auf Reddit geäußerte Vermutungen dahin, dass dies Vorbereitungen waren, Cryptomining-Malware auch im AUR zu verbreiten. Erst kürzlich waren solche Pakete in Ubuntus Snap-Store aufgetaucht.

http://www.pro-linux.de/news/1/26074/malware-im-arch-user-repositorium-aur-gefunden.html