Las noticias de malwares en GNU/Linux son cada vez más frecuentes, si bien, esta es una de las plataformas más seguras, no podemos pasar por alto que en los últimos años ha incrementado el índice de virus detectados. En esta ocasión se trata de un paquete AUR de Arch Linux, que fue modificado para difundir código malicioso.
Antes de continuar, debemos recordar que Arch Linux es una distribución GNU/Linux creada para que usuarios compartan código hecho en software libre. Por su parte, AUR (Arch User Repository) es un repositorio impulsado por dicha comunidad, y que es creado por los mismos usuarios.
AUR contiene descripciones de los paquetes llamadas PKGBUILD, para compilar un paquete desde el código fuente con “makepkg” y luego instalarlo mediante Pacman (un gestos de paquetes).
Muchos de los repositorios oficiales tienen su origen en AUR, es por eso que se le recomienda a los usuarios ser muy cuidadosos a la hora de manipular estos archivos, especialmente PKGBUILD y cualquier archivo .install en busca de comandos maliciosos.
Pero eso no es suficiente, ya que recientemente se conoció que un usuario alojó código malicioso en un repositorio AUR.
El pasado 7 de junio, el usuario llamado ‘Xeactor’, adoptó un paquete AUR marcado como huérfano (software sin un administrador activo) llamado “acroread” que funciona como un visor de PDF y lo modificó para agregar código malicioso.
Según un commit en Git, Xeactor ejecutó el comando“curl” para descargar un script desde Pastebin, que a su vez descargaba otro e instalaba una unidad de ‘systemd’ para programar una ejecución periódica desde un servidor remoto.
Como se describe arriba, este script instala software persistente que se entromete con el “systemd” y lo reconfigura, para ejecutarse cada 360 segundos.
La investigación reveló que el script malicioso se diseñó para recopilar datos en los sistemas infectados, y hacerse con información como: ID de la máquina, la salida de los comandos “uname -a” y “systemctl list-units”, información de la CPU y la información de Pacman.
Por fortuna, Xeactor no se salió con la suya, ya que un fallo provocado por la llamada a una función –que no existe– evita la ejecución completa del proceso, ya que el atacante puso upload en lugar de uploader.
Pero no se puede descartar, ya que las cargas útiles pueden ser manipuladas por el atacante en cualquier momento para enviar código malicioso sofisticado.
Tras el descubrimiento, los administradores de AUR revirtieron los cambios realizados en el paquete, suspendieron la cuenta de xeactor y notaron dos paquetes más, que xeactor adoptó y modificó recientemente de la misma manera.
Si eres usuario de Arch Linux y descargarte este paquete, lo mejor será que lo elimines lo más pronto posible. Este caso se suma a las estadísticas pues, según un informe de AV-Test, Linux y macOS han registrado un aumento en malwares que supera el 300%, mientras que las cifras en Windows han descendido, sin duda un cambio considerable en cuanto a los niveles de seguridad de los últimos tiempos.
