Malware telah ditemukan di setidaknya tiga paket Arch Linux yang tersedia di AUR (Arch User Repository), repositori Arch Linux resmi dari paket yang dikirimkan pengguna.

Kode berbahaya telah dihapus berkat intervensi cepat dari tim AUR.

Pencuri informasi ditemukan dalam paket Arch Linux “acroread”

Insiden itu terjadi karena AUR memungkinkan siapa saja untuk mengambil alih repositori “orphaned” yang telah ditinggalkan oleh pembuat asli mereka.

Pada hari Sabtu, pengguna dengan nama samaran “xeactor” mengambil alih satu paket orphaned bernama “acroread” yang memungkinkan pengguna Arch Linux untuk melihat file PDF.

Menurut commit Git source code paket, xeactor menambahkan kode berbahaya yang akan mengunduh file bernama “~x” dari ptpb.pw, situs ringan yang meniru Pastebin yang memungkinkan pengguna untuk berbagi potongan-potongan teks kecil.

Ketika pengguna akan menginstal paket xeactor, PC pengguna akan mengunduh dan mengeksekusi file ~x [VirusTotal, source code], yang nantinya akan mengunduh dan menjalankan file lain bernama “~u” [VirusTotal, source code].

Selain mengunduh ~u, tujuan utama dari file pertama (~x) juga untuk memodifikasi sistem dan menambahkan pengatur waktu untuk menjalankan file ~u pada setiap 360 detik.

Malware tidak melakukan banyak hal

Tujuan dari file kedua (~u) adalah untuk mengumpulkan data tentang setiap sistem yang terinfeksi dan memposting detail ini di dalam file Pastebin baru, menggunakan kunci Pastebin kustom penyerang.

Data yang dikumpulkan termasuk rincian seperti tanggal dan waktu, ID mesin, informasi CPU, detail Pacman (manajer paket), dan output dari perintah “uname -a” dan “systemctl list-units”.

Tidak ada tindakan berbahaya lainnya yang terdeteksi, yang berarti paket acroread tidak merugikan sistem pengguna, tetapi hanya mengumpulkan data untuk persiapan … sesuatu yang lain.

Tidak ada mekanisme pembaruan otomatis yang disertakan, yang berarti xeactor akan membutuhkan pembaruan paket sekunder untuk menyebarkan kode yang lebih mengganggu, atau berpotensi strain malware lain.

Dua paket yang belum diketahui namanya juga ditemukan terinfeksi

Tim AUR juga mengatakan menemukan kode serupa dalam dua paket lain yang pengguna xeactor baru saja diambil alih. Paket dan versi berikut diketahui terpengaruh:

  • acroread 9.5.5-8
  • balz 1.20-3
  • minergate 8.1-2

Semua perubahan berbahaya untuk ketiga paket sekarang telah dibatalkan, dan akun xeactor telah ditangguhkan. Repositori AUR tidak boleh disamakan dengan paket resmi di Arch Build System (ABS).

Paket AUR dihasilkan oleh pengguna dan diserahkan ke repositori, sementara paket ABS adalah paket resmi dari sumber yang terpercaya. Tim Arch Linux telah memperingatkan pengguna selama bertahun-tahun tentang memverifikasi setiap paket AUR sebelum menginstalnya.