Como verificar um pacote AUR para código malicioso?

2

O código malicioso foi encontrado e excluído depois de 3 pacotes AUR acroread , blaz e minergate ( e, g: detalhes do PKGBUILD do acronym ). Foi encontrado em uma confirmação lançada por um usuário mal-intencionado, alterando o proprietário do pacote AUR órfão e incluindo um comando curl malicioso.

O comando curl baixará o script bash% x e o segundo script u ( u.sh ) para criar um serviço systemd e usar uma função para coletar alguns dados do sistema (dados não confidenciais) mas os scripts podem ser modificados pelo invasor para serem carregados sequencialmente.

Na prática, nem todos os usuários têm a capacidade de verificar o PKGBUILD antes de criar qualquer pacote em seus sistemas por alguns motivos (exigem algum conhecimento, levam mais tempo, etc ...). Para entender como funciona, baixei e carreguei os 2 scripts bash em esta página pastbin .

Qual é a maneira mais fácil de verificar um código malicioso no pacote AUR?

segurança nua: outra comunidade Linux com problemas de malware

Pacotes de software mal-intencionados encontrados no repositório de usuários do Arch Linux

    
por GAD3R 15.07.2018 / 14:00

1 resposta

4

O ponto é que pode não ser tão fácil para um usuário inexperiente verificar código-fonte . No entanto, com os contrapontos naturais, também se poderia argumentar que o Arch Linux não é a distribuição Linux mais adequada para usuários inexperientes.

O wiki do Arch, os assistentes do AUR e a maioria dos fóruns on-line alertam sobre os perigos de tais repositórios / AUR, e que eles não devem ser cegamente confiáveis. Alguns ajudantes também avisam que você deve ler os PKGBUILDs antes de instalá-los.

Como recomendação, é sempre aconselhável usar trizen ou aurman (ou utilitários semelhantes) em vez de yaourt (listado como problemático / descontinuado), pois oferece ao usuário a oportunidade de inspecionar listas de pacotes / diferenças. Também ajuda a analisar o histórico de contribuições ao selecionar ou atualizar pacotes.

Usuários casuais não devem usar esses repositórios como seu principal grampo de fonte de pacotes quando você tem pacotes binários oficiais como uma alternativa. Se você tiver que usar o AUR, poderá procurar fóruns e / ou listas de discussão do Arch para relatar problemas. No entanto, embora seja uma visão excessivamente otimista, parece que a comunidade do Arch inspeciona regularmente os pacotes, como foi o caso aqui.

Você também pode tentar usar maldetect para pesquisar código-fonte baixado por assinaturas de malware conhecidas, no código-fonte baixado, no entanto, a probabilidade de capturar algo com código personalizado é nula. maldetect costuma ser mais adequado para capturar malware em código PHP.

P.S. No meu último trabalho, eu usei por um curto tempo dhcpd packages compilados da fonte, e estava usando durante anos pacotes FreeRadius compilados da fonte (porque a versão Debian era obsoleta).

No primeiro caso eu fiz uma verificação superficial do código-fonte do github para o par de vezes que eu fiz o download. No segundo caso, segui ativamente o fórum de usuários do FreeRadius, o fórum do github e as atualizações de código. Eu também tive um ambiente de teste / quarentena. (Eu até consegui enviar um relatório de bug importante encontrado no meu ambiente de teste).

Chegando ao ponto, se você estiver fazendo algum trabalho sério com pacotes instalados, geralmente envolve muito mais trabalho do que os pacotes oficiais oferecidos pela distribuição.

P.S.2. Geralmente qualquer administrador experiente do Unix dirá que rodar diretamente scripts / código fonte diretamente de curl , sem qualquer tipo de inspeção visual, é uma péssima idéia do ponto de vista da segurança.

    
por 15.07.2018 / 15:01