Arch Linux官方已下架三款被植入远程访问木马(RAT)“CHAOS”的恶意软件包,这些软件包此前被上传至Arch用户社区仓库(AUR),并可在Linux系统中执行恶意远程控制行为。
这三款恶意软件包名称分别为“librewolf-fix-bin”“firefox-patch-bin”和“zen-browser-patched-bin”,均由用户名为“danikpapas”的用户于7月16日上传。社区用户发现其存在可疑行为后,Arch Linux团队于两天后将其全部下架。
AUR 维护人员在公告中指出:“7月16日晚上约8点(UTC+2),一款恶意AUR软件包被上传至AUR平台。”“数小时后,同一用户又上传了另外两款恶意软件包。这些软件包均会下载并执行来自同一GitHub仓库的脚本,该脚本已被确认是一种远程访问木马(RAT)。”
AUR(Arch User Repository)是一个由用户维护的软件仓库,Arch Linux用户可在其中发布软件构建脚本(PKGBUILD),以自动化下载、构建和安装操作系统未包含的软件。然而,与许多其他软件仓库类似,AUR并未设立正式的审核机制对新提交或更新的软件包进行安全审查,因此,用户在构建和安装前需自行审查代码及安装脚本以防潜在风险。
尽管目前相关恶意软件包已被下架,但BleepingComputer网站发现这三款软件包的归档副本仍可获取,显示攻击者最早于7月16日18:46(UTC)开始提交恶意内容。
三款恶意软件包“librewolf-fix-bin”“firefox-patch-bin”和“zen-browser-patched-bin”的PKGBUILD文件中均含有名为“patches”的来源条目,指向攻击者控制的GitHub仓库:https://github.com/danikpapas/zenbrowser-patch.git。
在执行软件构建流程(BUILDPKG)时,该仓库被克隆至本地,并作为补丁构建流程的一部分运行。但实际上,该GitHub仓库并不包含合法补丁,而是嵌入了可在软件构建或安装阶段执行的恶意代码。目前,该GitHub仓库已被删除,.git仓库内容无法再被分析。
与此同时,一个长期处于休眠状态的Reddit账号突然开始在多个Arch Linux相关话题下发表评论,宣传上述软件包。该账号疑似已被攻击者接管,用于在社区推广恶意软件。Reddit上的Arch用户迅速发现异常,其中一名用户将其中一个组件上传至病毒扫描平台VirusTotal,经识别为Linux平台上的CHAOS远程访问木马(RAT)。
CHAOS RAT是一款开源的远程访问木马,可用于Windows和Linux系统,具备上传、下载文件、执行命令、开启反向Shell等功能,使攻击者能够完全远程控制受感染设备。
该木马一旦安装,会持续连接到攻击者设定的命令与控制服务器(C2),等待执行指令。在本次攻击中,C2服务器地址为:130.162[.]225[.]47:8080。
CHAOS RAT通常被用于加密货币挖矿攻击,也可能被用于窃取凭据、数据盗取或网络间谍活动等。
鉴于该木马的严重危害,凡是不慎安装上述软件包的用户,应立即检查系统中是否存在名为“systemd-initd”的可疑可执行文件,该文件可能位于/tmp目录中。如发现,应立即删除。
Arch Linux团队已于7月18日18:00(UTC+2)前完成对所有三款恶意软件包的下架处理。
Arch Linux团队发布安全公告提醒称:“我们强烈建议所有可能安装过这些软件包的用户,立即将其从系统中移除,并采取必要措施确认系统未被入侵。”
发表评论
您还未登录,请先登录。
登录