الأمن السيبراني
#ArchLinux
#AUR
Arch Linux تسحب حزم AUR التي تثبت برمجيات CHAOS RAT الخبيثة
في خطوة هامة لحماية مستخدميها، قامت Arch Linux بسحب ثلاث حزم خبيثة تم رفعها إلى مستودع Arch User Repository (AUR)، والتي استخدمت لتثبيت برمجيات CHAOS RAT على أجهزة لينكس.
الحزم التي تم سحبها هي "librewolf-fix-bin"، "firefox-patch-bin"، و"zen-browser-patched-bin"، وقد تم رفعها من قبل نفس المستخدم، "danikpapas"، في 16 يوليو.
تم إزالة الحزم بعد يومين من رفعها من قبل فريق Arch Linux بعد أن تم الإبلاغ عنها كمشروطة خبيثة من قبل المجتمع.
تفاصيل الحزم الخبيثة
في 16 يوليو، حوالي الساعة 8 مساءً بتوقيت UTC+2، تم رفع حزمة خبيثة إلى AUR، كما حذر القائمون على AUR.
تم رفع حزمتي خبيثة أخريين من قبل نفس المستخدم بعد بضع ساعات. كانت هذه الحزم تقوم بتثبيت سكربت من نفس مستودع GitHub الذي تم التعرف عليه كبرمجية وصول عن بعد (RAT).
يعتبر AUR مستودعاً حيث يمكن لمستخدمي Arch Linux نشر سكربتات بناء الحزم (PKGBUILDs) لأتمتة عملية تنزيل وبناء وتثبيت البرمجيات غير المدرجة مع نظام التشغيل.
ومع ذلك، مثل العديد من مستودعات الحزم الأخرى، لا يحتوي AUR على عملية مراجعة رسمية للحزم الجديدة أو المحدثة، مما يجعل من مسؤولية المستخدم مراجعة الكود وسكربتات التثبيت قبل البناء والتثبيت.
على الرغم من أن جميع الحزم قد تمت إزالتها الآن، إلا أن BleepingComputer وجدت نسخاً مؤرشفة من جميع الحزم الثلاث، مما يشير إلى أن المهاجم بدأ في تقديم الحزم في الساعة 18:46 UTC في 16 يوليو.
كانت كل حزمة تحتوي على إدخال مصدر في ملف PKGBUILD يسمى "patches" يشير إلى مستودع GitHub تحت سيطرة المهاجم: https://github.com/danikpapas/zenbrowser-patch.git.
عند معالجة BUILDPKG، يتم استنساخ هذا المستودع ويُعتبر جزءاً من عملية التصحيح والبناء للحزمة. ومع ذلك، بدلاً من أن يكون تصحيحاً شرعياً، احتوى مستودع GitHub على كود خبيث تم تنفيذه خلال مرحلة البناء أو التثبيت.
تمت إزالة مستودع GitHub هذا منذ ذلك الحين، ولم يعد مستودع .git متاحاً للتحليل.
ومع ذلك، بدأ حساب Reddit في الرد على مواضيع مختلفة حول Arch Linux على المنصة اليوم، مروجاً لهذه الحزم على AUR. تم نشر التعليقات من قبل حساب يبدو أنه كان خاملاً لسنوات ومن المحتمل أن يكون قد تم اختراقه لنشر الحزم الخبيثة.
سرعان ما وجد مستخدمو Arch على Reddit التعليقات مشبوهة، حيث قام أحدهم بتحميل أحد المكونات إلى VirusTotal، الذي اكتشفه كبرمجية خبيثة لنظام لينكس تُدعى CHAOS RAT.
CHAOS RAT هي برمجية وصول عن بعد مفتوحة المصدر (RAT) لنظامي ويندوز ولينكس يمكن استخدامها لتحميل وتنزيل الملفات، تنفيذ الأوامر، وفتح قشرة عكسية. في النهاية، يحصل المهاجمون على وصول كامل إلى الجهاز المصاب.
بمجرد التثبيت، تتصل البرمجية الخبيثة بشكل متكرر بخادم القيادة والتحكم (C2) حيث تنتظر الأوامر للتنفيذ. في هذه الحملة، كان خادم C2 يقع في 130.162[.]225[.]47:8080.
تُستخدم البرمجية الخبيثة عادة في حملات تعدين العملات المشفرة، ولكن يمكن أيضاً استخدامها لجمع بيانات الاعتماد، سرقة البيانات، أو القيام بالتجسس السيبراني.
بسبب خطورة البرمجية الخبيثة، يجب على أي شخص قام بتثبيت هذه الحزم عن طريق الخطأ التحقق فوراً من وجود تنفيذ "systemd-initd" مشبوه يعمل على جهاز الكمبيوتر الخاص به، والذي قد يكون موجوداً في مجلد /tmp. إذا تم العثور عليه، يجب حذفه.
قام فريق Arch Linux بإزالة جميع الحزم الثلاث بحلول 18 يوليو حوالي الساعة 6 مساءً بتوقيت UTC+2.
"نحن نشجع بشدة المستخدمين الذين قد يكونوا قد قاموا بتثبيت واحدة من هذه الحزم على إزالتها من نظامهم واتخاذ التدابير اللازمة لضمان عدم تعرضهم للاختراق،" حذر فريق Arch Linux.
الخلاصة
تعتبر هذه الحادثة تذكيراً هاماً لمستخدمي Arch Linux بضرورة مراجعة الحزم قبل التثبيت، والتأكد من عدم وجود أي برمجيات خبيثة على أنظمتهم.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!