کشف بسته‌های نرم‌افزاری مخرب در مخازن توزیع Arch لینوکس

کشف یک رویداد دیگر نشان می‌دهد که شما نباید به‌صراحت به مخازن نرم‌افزاری کنترل‌شده توسط کاربر اعتماد کنید. لینوکس پس از کشف کدهای مخرب در یکی از محبوب‌ترین توزیعهای خود به‌نام Arch Linux، ۳ مخزن نرم‌افزاری AUR که توسط کاربر کنترل می‌شوند، را غیرفعال کرد.

Arch Linux که به‌صورت مستقل توسعه یافته، یک توزیع GNU/Linux است که عمدتا از نرم‌افزارهای رایگان و متن‌باز تشکیل شده و از مشارکت اجتماعی  پشتیبانی می‌کند. کاربران Arch Linux می‌توانند بسته‌های نرم افزاری را علاوه بر مخازن رسمی مانند (Arch Build System (ABS، از چندین مخزن دیگر، از جمله Arch User Repository (AUR) نیز دانلود کنند. AUR مخزنی‌ست که توسط کاربران Arch Linux ایجاد و مدیریت می‌شود.

از آنجایی‌که محتوای بسته‌های AUR توسط کاربر تولید می‌شود، نگهدارنده‌ی Arch به کاربران لینوکس توصیه می‌کنند که همیشه تمام فایلها، به‌ویژه PKGBUILD و هر فایل نصب کردنی را از وجود دستورهای مخرب به‌دقت بررسی نمایند. با این حال، اخیرا در چندین مورد از جمله یک PDF Viewer، وجود کدهای مخرب در مخزن AUR مشاهده شده است.

کشف PDF Viewer آسیب‌دیده در مخزن AUR متعلق به توزیع Arch لینوکس
در تاریخ ۷ ژوئن، یک کاربر مخرب با نام مستعار «xeactor» یک بسته‌ی orphaned (نرم‌افزار بدون نگهدارنده‌ی فعال) به نام «acroread» را ایجاد کرد و آن را برای افزودن کد مخرب تغییر داد. این بسته‌ی نرم‌افزاری به‌صورت یکPDF Viewer  ظاهر شده است. xeactor به‌ازای اجرای هر گیت، یک کد مخرب به کد منبع بسته اضافه کرد که یک اسکریپت curl را دانلود کرده و این اسکریپت به نوبه‌ی خود، یک اسکریپت را از سرور راه دور نصب و اجرا می‌کند.

این اسکریپت یک نرم‌افزار پایدار را نصب می‌کند که «systemd» را تغییر داده و به‌منظور اجرای آن در هر ۳۶۰ ثانیه، آن را مجددا پیکربندی می‌کند. تحقیقات نشان داد که این اسکریپت مخرب برای جمع‌آوری داده‌ها از سیستم‌های آلوده طراحی شده است که این داده‌ها عبارتند از:
•    تاریخ و زمان
•    شناسه‌ی دستگاه
•    اطلاعات Pacman (ابزار مدیریت بسته)
•    خروجی دستور «uname-a»
•    اطلاعات پردازنده
•    خروجی دستور «systemctl list-units»
سپس داده‌های جمع‌آوری شده به یک سند Pastebin ارسال می‌شوند.

محققان با تجزیه و تحلیل این کد، تغییرات آن در طول زمان را به‌دست آورده و اعلام کردند که این اسکریپتها ظاهرا یک تهدید جدی نیستند، اما مهاجم می‌تواند در هر زمان بارداده‌ها را برای اضافه کردن کدهای مخرب دستکاری کند. به محض کشف شدن این کد مخرب، نگهدارنده‌های AUR تغییرات اعمال شده در بسته را غیرفعال کرده و حساب کاربری xeactor را به‌حالت تعلیق درآوردند. همچنین ۲ بسته‌ی دیگر که اخیرا توسط xeactor به همان شیوه مورد استفاده قرار گرفته و اصلاح شده بود، نیز کشف شد.

کشف بسته‌های نرم‌افزاری مخرب‌تر
گروه AUR همچنین ۲ بسته‌ی دیگر را بدون افشای نام آن‌ها حذف کرد. بنابراین، اگر شما نیز یکی از کاربران Arch Linux بوده و اخیرا بسته‌ی «acroread» را دانلود کرده‌اید، به‌شدت توصیه می‌کنیم که آن را حذف نمایید. درحالی‌که این نقض امنیتی یک تهدید جدی برای کاربران لینوکس محسوب نمی‌شود، اما این رویداد موجب شد که در مورد امنیت بسته‌های نرم‌افزاری غیرقابل اعتماد بحث شود. بنابراین، کاربران باید قبل از دانلود هر مخزن کنترل‌شده توسط کاربر، آن را به‌دقت بررسی کنند.
 

منبع