在 Arch 使用的 AUR(Arch 使用者倉庫)倉庫中 Linux 偵測到三個惡意軟體包——firefox-patch-bin、librewolf-fix-bin 和 zen-browser-patched-bin——它們分發第三方軟體包。這些軟體包包含修改過的 Firefox、Librewolf 和 Zen 瀏覽器版本。這些軟體包的名稱與 AUR 中由愛好者維護的合法軟體包 firefox-bin、librewolf-bin 和 zen-browser-bin 非常相似。
PKGBUILD 檔案中的軟體包包含從 GitHub 外部倉庫下載的修補程式(zenbrowser-patch、youtube-viewbot)的連結。這些補丁修改了安裝過程,導致運行一個 Python 腳本來安裝 Chaos 木馬。該木馬允許遠端存取系統,向外部伺服器發送訊息,並且 服務器 惡意程式會竊取機密檔案並執行指令,例如用於加密貨幣挖礦。該惡意可執行檔位於 /usr/local/share/systemd-initd 目錄,並透過 custom-initd.service 服務啟動,該服務已複製到 systemd 目錄。如果在安裝過程中未提供 root 權限,則木馬程式會被放置在使用者的主目錄(~/.local/share/systemd-initd)中。
這些惡意軟體套件於16月23日晚上18點左右(莫斯科時間)被發佈到AUR儲存庫。為了推廣這些惡意軟體包,攻擊者於15月XNUMX日下午XNUMX點(莫斯科時間)發起了一場垃圾郵件活動。例如,為了鼓勵用戶安裝,Zen瀏覽器的版本說明指出,關鍵的穩定性和渲染問題已解決,並且記憶體洩漏問題也已修復。
這些軟體包已於18月19日晚間21點被儲存庫管理員移除。儲存庫使用者幾乎同時注意到,另有四個惡意軟體包:minecraft-cracked、ttf-all-ms-fonts、ttf-ms-fonts-all 和 vesktop-bin-patched,它們於18月XNUMX日晚XNUMX點左右(MSK)透過另一個帳戶發布。截至本文撰寫時,這些軟體包已從儲存庫中移除。
來源: opennet.ru
