Arch Linux, Linux cihazlarına Kaos Uzaktan Access Trojan’ı (RAT) kurmak için Arch Kullanıcı Deposuna (AUR) yüklenen üç kötü amaçlı paket çekti.
Paketlere “Librewolf-Fix-Bin”, “Firefox-Patch-Bin” ve “Zen-Browser-Patched-Bin” olarak adlandırıldı ve aynı kullanıcı “Danikpapas” tarafından 16 Temmuz’da yüklendi.
Paketler iki gün sonra topluluk tarafından kötü niyetli olarak işaretlendikten sonra Arch Linux ekibi tarafından kaldırıldı.
AUR koruyucuları, “16 Temmuz’da saat 20.00’de UTC+2 civarında, AUR’a kötü niyetli bir AUR paketi yüklendi.”
“Birkaç saat sonra aynı kullanıcı tarafından diğer iki kötü amaçlı paket yüklendi. Bu paketler, uzaktan erişim Truva (sıçan) olarak tanımlanan aynı GitHub deposundan gelen bir komut dosyası yüklüyordu.”
Kaynak: BleepingComputer
AUR, Arch Linux kullanıcılarının işletim sistemine dahil olmayan yazılımı indirme, oluşturma ve yükleme sürecini otomatikleştirmek için paket oluşturma komut dosyaları (PKGBUILDS) yayınlayabileceği bir depodur.
Bununla birlikte, diğer birçok paket depo gibi, AUR’un yeni veya güncellenmiş paketler için bir format inceleme işlemi yoktur, bu da paketi oluşturup yüklemeden önce kod ve yükleme komut dosyalarını inceleme sorumluluğunu yapar.
Tüm paketler şimdi kaldırılmış olsa da, BleepingComputer üçünün de arşivlenmiş kopyalarını buldu, bu da tehdit oyuncunun paketleri 16 Temmuz’da 18: 46’da göndermeye başladığını gösteriyor.
Her paket, “Librewolf-Fix-Bin”, “Firefox-Patch-Bin” ve “Zen-Browser-Patched-Bin”yamalar“Bu, saldırganın kontrolü altında bir GitHub deposuna işaret etti: https://github.com/danikpapas/zenbrowser-patch.git.
BuildPKG işlendiğinde, bu depo klonlanır ve paketin yama ve bina sürecinin bir parçası olarak ele alınır. Ancak, meşru bir yama olmak yerine, GitHub deposu, oluşturma veya kurulum aşamasında yürütülen kötü amaçlı kod içeriyordu.
Bu GitHub deposu o zamandan beri kaldırıldı ve .git deposu artık analiz için kullanılamıyor.
Bununla birlikte, bir Reddit hesabı bugün platformdaki çeşitli Arch Linux ipliklerine yanıt vermeye başladı ve bu paketleri AUR’da tanıttı. Yorumlar, yıllarca uykuda olduğu ve muhtemelen kötü niyetli paketleri yaymaktan ödün verilen bir hesap tarafından yayınlandı.
Reddit’teki Arch kullanıcıları, yorumları hızlı bir şekilde şüpheli buldular, bunlardan biri bileşenlerden birini Virustotal’a yükledi, bu da onu Chaos Rat adı verilen Linux kötü amaçlı yazılım olarak algıladı.
Chaos Rat, Windows ve Linux için dosyaları yüklemek ve indirmek, komutları yürütmek ve bir ters kabuk açmak için kullanılabilen açık kaynaklı bir uzaktan erişim Truva Access Trojan’dır (RAT). Sonuçta, tehdit aktörleri enfekte bir cihaza tam erişime sahiptir.
Yüklendikten sonra, kötü amaçlı yazılım defalarca bir komut ve kontrol (C2) sunucusuna geri bağlanır ve burada komutların yürütülmesini bekler. Bu kampanyada, C2 sunucusu 130.162’de bulundu.[.]225[.]47: 8080.
Kötü amaçlı yazılım, kripto para madenciliği kampanyalarında yaygın olarak kullanılır, ancak kimlik bilgilerini hasat etmek, veri çalmak veya siber casusluk yapmak için de kullanılabilir.
Kötü amaçlı yazılımın ciddiyeti nedeniyle, bu paketleri yanlışlıkla yükleyen herkes, /TMP klasöründe bulunabilecek bilgisayarlarında çalışan şüpheli bir “Systemd-Initd” yürütülebilir dosyasının varlığını derhal kontrol etmelidir. Bulunursa, silinmelidir.
Arch Linux ekibi, üç paketi de 18 Temmuz’a kadar 18:00 UTC+2 civarında çıkardı.
Arch Linux ekibini, “Bu paketlerden birini sistemlerinden kaldırmaya ve tehlikeye girmediklerinden emin olmak için gerekli önlemleri almak için kurmuş olabilecek kullanıcıları şiddetle teşvik ediyoruz.”
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güverte, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.