原标题:Arch Linux的AUR储存库部份套件程式码被加料,勿轻忽社交程式码储存库安全
Arch△Linux使用者储存库(Arch△User△Repository,AUR)中,被发现有3款套件存在恶意程式码。由于这些套件缺乏活跃维护者,使得骇客有机可乘,通过Git对这些套件插入恶意程式码。所幸通过程式码分析发现了这些恶意行为,但AUR官方还是提醒,使用者不应过度相信社交程式码储存库的安全性。
通过安全性调查发现,在6月7日,一个可以让Arch△Linux使用者开启PDF文件的套件acroread,由于缺乏活跃维护者,被一个名称为xeactor使用者,通过Git对其添加了恶意程式码。
这些恶意程式码会先从一个文字分享网站ptpb.pw下载名为~x的档案,而这个~x档案的功能,会下载并执行另一个名为~u的档案,与此同时,~x也会对systemd进行修改增加计时器,每360秒执行一次~u档案。不过,有趣的是,第二个下载来的~u档案并不会执行太多的恶意行为,仅会收集受感染电脑的资料,并将这些资料通过订制化的金钥,回传至线上文字系统。
~u收集的资讯包含时间日期、电脑ID、CPU资讯、套件管理器Pacman的详细资讯,以及uname△-a和systemctl△list-units两个指令的输出讯息。AUR官方表示,除此之外,没有观察到其他的恶意行为,也就是说acroread不具伤害用户系统的行为。而且acroread中并不具备自动更新的能力,因此当xeactor要为恶意程式码添加新的行为,势必需要再度更新套件程式码。
AUR官方还发现了储存库中另外两个套件,也被感染的恶意程式码,这些程式码的行为与acroread中被增加的相似。现在这三个有问题的套件都已经被移除,xeactor的帐户也被停用了。
类似的事件也发生在Ubuntu△Snap商店,在5月时,首度发现一款名为2048buntu的小游戏中,暗藏采矿程式,而当时官方Canonical发表公开声明提到,由于资源有限,他们没有办法审查用户上传的所有程式码,因此倾向于以信任作者的方式取代信任程式码,因此会对安全的发行者授予信任标记。
而AUR是由Arch△Linux社交驱动的套件储存库,开发者可以上传套件程式码,并由使用者自行建置套件。受Arch△Linux官方信任的开发者Giancarlo△Razzolini公开回复邮件列表,回应对这个事件提出疑问的使用者,他提到AUR的网页上有明显的免责声明,使用者应该要清楚自己所使用的东西,他也提醒用户,只能从AUR下载PKGBUILD,并且使用自己建置的套件。过分相信AUR上的内容并非安全的作法。
相关:
Chrome扩充程式Hola VPN开发者帐号遭骇,成为攻击加密货币钱包MyEtherWallet的跳板
示意图,与新闻事件无关。 热门的加密货币钱包MyEtherWallet周二(7/10)紧急警告有骇客利用Chrome扩充程式Hola△VPN将MyEtherWallet用户引导至钓鱼网站,骗取用户的帐号资料;Hola△VPN则坦承该程式的开发者帐号被
社交网站时光机app Timehop惊爆遭骇,2100万用户个资外泄
示意图,与新闻事件无关。 图片来源: Timehop 社交网站风险高!提供脸书及推特过去贴文回顾的appTimehop周日公告上周7月4日遭骇传出重大资安事件,2100万名用户个资外泄,而且骇客也曾取得用户存取脸书、推特、IG等
图片来源: ESET△WeLiveSecurity研究团队 ESET资深研究员Anton△Cherepanov指出,在最近出现恶意软件的样本中,ESET研究团队发现其中包含了由D-Link与全景软件签署的凭证,这2家公司获报后,已经先后撤销他们所签署的
WordPress释出安全更新,修复可从外部删除档案的程式码执行漏洞
资安公司Ripstech在7个月前向WordPress资安团队回报,一个允许外部删除档案的程式码执行漏洞,但WordPress却音讯全无,即使在5月中推出的4.9.6版本,也不见修补该漏洞,Ripstech于是在6月26日怒公开该漏洞细节,Word
乌干达政府明言可拉黑VPN,让消费税无处可逃。 乌干达在今年7月1日正式实施新版消费税,针对造访OTT服务的民众每日征收200先令(约0.01美元)的税金,许多民众为了避开此一“社交媒体税”,改用VPN(虚拟私人网络)