Paquetes de software malicioso encontrados en repositorio de Arch Linux

Share this…

Otra muestra de que no se debe confiar en el repositorio de software controlado por el usuario

Una de las distribuciones Linux más populares, Arch Linux, ha extraído hasta tres paquetes de repositorio controlado por usuarios después de que se descubriera que alojaban código malicioso, informan expertos en borrado seguro de datos del Instituto Internacional de Seguridad Cibernética.

Arch Linux es una distribución de GNU/Linux de uso general, desarrollado de forma independiente, compuesto predominantemente por software gratuito y de código abierto, y admite la participación de la comunidad.

Además de repositorios oficiales como Arch Build System (ABS), los usuarios de Arch Linux también pueden descargar paquetes de software de otros repositorios, incluido Arch User Repository (AUR), un repositorio impulsado por la comunidad creado y administrado por usuarios de Arch Linux.

Dado que los paquetes AUR son contenido producido por el usuario, quienes mantienen Arch siempre sugieren a los usuarios de Linux que revisen cuidadosamente todos los archivos, especialmente PKGBUILD y cualquier archivo de extensión .install en busca de comandos maliciosos. De cualquier modo, se descubrió que este repositorio AUR albergaba código malicioso en diversas formas, incluyendo un lector PDF.

Lector PDF comprometido encontrado en Arch User Repository

En junio pasado, un usuario malicioso apodado ‘xeactor’ adoptó un paquete huérfano (software sin encargados activos) llamado ‘acroread’ que funciona como un visor de PDF y lo modificó para agregar código malicioso que descargaría un script, el cual a su vez instalaría y ejecutaría otro script desde un servidor remoto.

Este script instala software persistente que se entromete con “systemd” y lo reconfigura, y se ejecutará cada 360 segundos.

Especialistas en borrado seguro de datos afirman que el script malicioso sería utilizado para recolectar información del sistema infectado como:

  • Fecha y hora
  • ID del equipo
  • Información de la utilidad de gestión de paquetes

Los datos recopilados se publicarían en un documento Pastebin.

Afortunadamente, un análisis de código descubrió las modificaciones a su debido tiempo y reveló que las secuencias de comandos no parecían ser una amenaza grave. Expertos en borrado seguro d datos afirman que tan pronto como fue descubierto, los encargados de AUR revierten los cambios realizados en el paquete, suspendieron la cuenta de ‘xeactor’ y también encontraron dos paquetes más que “xeactor” había adoptado y modificado recientemente.

Más paquetes de software maliciosos

El equipo de AUR también eliminó los otros dos paquetes sin revelar sus nombres.

Si usted es un usuario de Arch Linux que descargó ‘acroread’ recientemente, le recomendamos que lo elimine a la brevedad.

Si bien la brecha no representa una amenaza seria para los usuarios de Linux, el incidente definitivamente generó un debate sobre la seguridad de los paquetes de software que no son de confianza.

Se recomienda a los usuarios de Linux mantenerse alertas respecto al uso de código desarrollado por usuarios no reconocidos.