Команда Arch Linux удалила из AUR три пакета с трояном CHAOS RAT

Команда Arch Linux удалила из пользовательского репозитория AUR три пакета, содержащих вредоносное программное обеспечение — троян удаленного доступа CHAOS RAT. Эти пакеты, замаскированные под обновления для браузеров, представляли угрозу для безопасности пользователей Linux.

Обнаружение и удаление вредоносных пакетов

Пакеты, получившие названия librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin, были загружены в AUR пользователем под псевдонимом danikpapas 16 июля около 18:46 по UTC. Спустя два дня, 18 июля к 18:00 по UTC+2, команда Arch Linux удалила их после того, как сообщество пользователей отметило подозрительную активность.

По данным команды AUR, первый пакет был загружен около 20:00 по UTC+2, а вскоре после этого появились еще два. Все они содержали ссылку на один и тот же GitHub-репозиторий (https://github.com/danikpapas/zenbrowser-patch.git), который использовался для распространения вредоносного кода. Этот репозиторий впоследствии был удален, что затруднило дальнейший анализ.

Как работали вредоносные пакеты

AUR — это репозиторий, где пользователи Arch Linux публикуют скрипты сборки (PKGBUILD) для упрощения установки программного обеспечения, отсутствующего в официальных репозиториях. Однако AUR не предусматривает формальной проверки новых или обновленных пакетов, что возлагает ответственность за анализ кода на пользователей.

Каждый из трех пакетов содержал в PKGBUILD ссылку на «патчи», которые загружались из указанного GitHub-репозитория. Вместо легитимных обновлений репозиторий содержал код, выполняющий вредоносные действия во время сборки или установки пакета. В результате на устройство устанавливался троян CHAOS RAT, способный выполнять команды, загружать и скачивать файлы, а также открывать обратную оболочку для полного контроля над зараженной системой.

Характеристики трояна CHAOS RAT

CHAOS RAT — это троян удаленного доступа с открытым исходным кодом, разработанный для Windows и Linux. Он позволяет злоумышленникам:

• Загружать и скачивать файлы.

• Выполнять произвольные команды.

• Открывать обратную оболочку для удаленного управления.

В данном случае троян связывался с сервером управления (C2) по адресу 130.162[.]225[.]47:8080, ожидая дальнейших инструкций. Программа часто используется в кампаниях по добыче криптовалют, краже учетных данных, сборе данных или кибершпионаже.

Реакция сообщества и выявление угрозы

Подозрения у пользователей Arch Linux вызвали комментарии в темах Reddit, где аккаунт, вероятно, скомпрометированный после длительного бездействия, активно продвигал установку этих пакетов. Один из пользователей загрузил компонент пакета на VirusTotal, где он был идентифицирован как CHAOS RAT.

Рекомендации для пользователей

Команда Arch Linux настоятельно рекомендует всем, кто мог установить указанные пакеты, немедленно:

1. Проверить систему на наличие подозрительного исполняемого файла systemd-initd, который может находиться в директории /tmp.

2. Удалить этот файл, если он обнаружен.

3. Убедиться, что система не была скомпрометирована, проверив сетевые подключения и другие признаки вредоносной активности.

Все три пакета были удалены из AUR к 18:00 по UTC+2 18 июля. Пользователям советуют проявлять осторожность при установке пакетов из AUR и тщательно проверять PKGBUILD перед их использованием.

Как защититься от подобных угроз

Для предотвращения подобных инцидентов пользователям Arch Linux рекомендуется:

• Внимательно изучать код PKGBUILD перед установкой.

• Использовать инструменты анализа, такие как VirusTotal, для проверки подозрительных файлов.

• Следить за обсуждениями в сообществе, чтобы оперативно узнавать о потенциальных угрозах.

Данный инцидент подчеркивает важность бдительности при работе с пользовательскими репозиториями и необходимость проверки всех загружаемых компонентов.