Letiltott csomagok, veszélyes szkriptek
A csomagokat két napon belül eltávolította az Arch Linux csapata, miután a közösség jelzése nyomán felfigyeltek a csalásra. Bár a három csomag csak rövid ideig volt elérhető, ez idő alatt sikerült archiválni a fertőzött verziókat. Lényegében mindegyik csomag építési szkriptjeiben (PKGBUILD) volt elrejtve egy „patches” forrás, amely valójában a támadó GitHub-fiókjára mutatott. Itt futott végig a rosszindulatú kód a csomag telepítése során, bejuttatva a kártevőt. Az ominózus GitHub-tárolót hamar eltávolították, így további elemzésre nem maradt lehetőség.
A veszélyes CHAOS RAT működése
A CHAOS RAT egy nyílt forráskódú, többplatformos távoli elérésű trójai program (RAT – Remote Access Trojan), amely alkalmas fájlok feltöltésére és letöltésére, parancsok futtatására, illetve visszacsatolt parancssor (reverse shell) nyitására, teljes hozzáférést adva a rendszerhez. A kártevő folyamatosan egy C2 (Command & Control) szerverhez csatlakozik (130.162.225.47:8080), ahonnan utasításokat fogad. Általában kriptobányász-támadásokban vetik be, de jelszólopásra, adatlopásra és további kibertámadásokra is alkalmas.
Hogyan lehet felismerni és védekezni?
A trójait terjesztő, régóta inaktívnak hitt Reddit-profilok újraéledtek, és több fórumon ajánlották a veszélyes csomagokat. A felhasználók gyorsan gyanút fogtak: a fertőzést linuxos kártevőként azonosították. Aki akár csak a gyanús csomagok közül egyet is telepített, érdemes ellenőriznie a /tmp mappában futó, systemd-initd nevű gyanús folyamatot, és azt azonnal törölni. Az Arch Linux csapata minden érintettet felszólított: távolítsa el a csomagokat, és vizsgálja át rendszerét a lehetséges kompromittálódás jelei után.
