Detectados peligrosos scripts en algunos repositorios de Arch Linux

A raíz de la denuncia de un usuario de reddit en un hilo del canal de archlinux, la comunidad ha detectado paquetes infectados en el repositorio AUR de Arch Linux.

El repositorio AUR de Arch Linux es un repositorio hecho por y para los usuarios de este sistema operativo. Contiene descripciones de paquetes conocidas técnicamente como PKGBUILDS, facilitando la compilación desde la fuente. Es un repositorio muy útil que utiliza una gran parte de la comunidad, tanto desarrolladores como usuarios, pero no es completamente seguro. Al ser contenido producido por la propia comunidad, existe el riesgo de que algún usuario con malas intenciones intente infectar al resto de la comunidad, como ha sucedido. Cabe destacar que en la página web del repositorio AUR indica claramente que los paquetes deben de ser comprobados una vez descargados, dado que no existe control de seguridad alguno al ser contenido externo a los desarrolladores oficiales de Arch Linux.

El 7 de junio, se modificó un paquete AUR con algún código malicioso, recordando a los usuarios de Arch Linux (y a los usuarios de Linux en general) que todos los paquetes generados por los usuarios deberían verificarse (cuando sea posible) antes de la instalación.

El paquete “ACRORED” se modificó el pasado 7 de Junio (2018), un paquete que no tenía desarrollador asignado, por lo que parecía un paquete obsoleto. Un usuario con nick “xeactor” lo modificó para incluir un curl que descargaba un script que realizaba una secuencia de comandos que interactuaban con systemd de manera periódica. No ha sido el único caso, también añadió el script a otros paquetes con más utilización.

En principio, el código añadido no realizaba nada perjudicial, únicamente intentaba recopilar información del sistema (ningún dato personal, sólo de la máquina como el modelo del procesador) y lo publicaba en pastebin. En realidad, no llegó a funcionar, dado que ejecutaba el comando “uploader” en vez de “upload” para subir el archivo, por lo tanto daba error. No obstante, este usuario dejó la clave personal de pastebin en el script sin intentar ocultarla, lo que en principio quiere decir que ha demostrado lo que podría hacer (podría haber llegado a realizar una infección muy seria) un usuario con malas intenciones de verdad.

Por suerte, la comunidad no tardó demasiado en darse cuenta de la alteración de los paquetes y en no muchas horas, los paquetes se eliminaron (se restauraron los originales) y se bloqueó al usuario. Nuevamente recordaros que siempre hay que comprobar los paquetes que se descargan, sobre todo desde fuentes de tan poca fiabilidad como el repositorio AUR de Arch Linux. A veces, ésta comprobación es complicada de realizar, pero siempre viene bien buscar información del paquete y en servidores y equipos en producción, no jugar con fuego.

Acerca de David Díaz Villa

Autónomo administrador de sistemas informáticos y asesor tecnológico. Experto en administración avanzada de sistemas informáticos, redes, servidores y páginas web. Asesoro en cuestiones tecnológicas e informáticas a empresas y usuarios.

Deja una respuesta

avatar
  Suscribirse  
Notificarme las

Centro de preferencias de privacidad

Cookies imprescindibles

Se usan para saber si ya aceptaste nuestras políticas y para servir más rápidos los contenidos.

gdpr

Cookies de terceros

Usamos cookies de terceros en las que se almacenan externamente para conocer tus usos de navegación, si ya estás suscrito al boletín y los elementos compartidos en redes sociales

_ga, _gid

Suscríbete gratis

Suscríbete gratis

Recibe las últimas noticias y novedades de LiGNUx en tu email.
Sin publicidad, sin Spam.

Gracias por suscribirte a LiGNUx.