مخزن AUR آرچ لینوکس توسط بدافزار مورد حمله قرار گرفت!

 

یکی از مخازن نرم افزار آرچ لینوکس به نام مخزن کاربران آرچ(به اختصار AUR) توسط یک بد افزار آلوده شد و در حال حاضر سه بسته در این مخزن نرم افزار حاوی بد افزار هستن.

نحوه کار این مخزن (AUR) کاربر محوره.یعنی کاربر ها میتونن خودشون بسته های مورد نظرشون رو روی مخزن آپلود کنن.این بدافزار هم به همین شیوه به مخزن راه پیدا کرده.

کاربری با نام xeactor به فایلی به اسم acroread که یک فایل PDF بود یک کد مخرب اضافه کرد.

 

این کد اسکریپتی رو روی سیستم آلوده دانلود میکنه که میتونه کار systemd رو مختل کنه و این اسکریپت هر 360 ثانیه اجرا میشه.

وظیفه این بدافزار این هست که اطلاعاتی رو از سیستم آلوده مثل اطلاعات سی پی یو،زمان و تاریخ سیستم،اطلاعات پکیج منیجر و خروجی دستور های uname -a و systemctl list-until رو جمع آوری کنه و به عنوان یک فایل pastebin بفرسته.

دو پکیج دیگه هم به روشی مشابه آلوده شدن.هرچند این برای کامپیوتر های آلوده شده خطر جدی نیست.

بعد از کشف شدن این بد افزار کاربر xeactor به حالت تعلیق در اومد.