Há muito que os utilizadores se habituaram à ideia de que não é normal a presença de vírus e de malware nos sistemas Linux. Esta não é na realidade uma verdade absoluta e os últimos anos têm mostrado que este é também um sistema vulnerável e com problemas, tal como os restantes.
A mais recente quebra de segurança surgiu no Arch Linux e nos seus repositórios públicos. Foi aí que foi descoberto malware que estava disponível para instalação sem qualquer controlo.
Ao todo foram descobertas três aplicações nos repositórios públicos do Arch Linux (AUR), disponíveis para qualquer utilizador instalar e que expunham as maquinas destes. Estes são repositórios públicos onde os programadores podem publicar as suas aplicações para este sistema operativo.
A forma encontrada para colocar o código malicioso nestas aplicações é na verdade simples. Qualquer aplicação abandonada no AUR pode ser reclamada, de forma anónima e sem confirmação, podendo depois ser atualizada. Isso aconteceu com a app acroread, que permite aos utilizadores do Arch Linux lerem ficheiros PDF.
O utilizador xeactor terá chamado a si esta aplicação atualizou-a com um simples ficheiro, que, depois da instalação desta app, tratava de descarregar código malicioso para o sistema afetado.
Este não fazia mais do que recolher e transmitir para um ponto central informação sobre o sistema onde estava a ser executado. Esta informação incluía a data e hora, o ID da máquina, informação do CPU, detalhes do Pacman (package manager) e o resultado dos comandos “uname -a”e “systemctl list-units”.
Provavelmente a recolha desta informação seria apenas a preparação para um ataque maior e que seria iniciado mais tarde, já com um parque de máquinas mais elevado e útil.
Para além do acroread, também as apps balz e minergate foram alteradas por este utilizador no mesmo período. Assim que foi descoberto o problema, este utilizador foi bloqueado e as aplicações foram revertidas.
Importa destacar que estes não são os repositórios oficiais do Arch Linux, mas sim os repositórios onde os utilizadores podem distribuir as suas apps, de forma centralizada e, aparentemente controlada.
Esta não é a primeira vez este ano que é descoberto malware nos repositórios, mostrando que mesmo com toda a segurança associada, existem nos repositórios de software falhas de controlo e controlo nas aplicações publicadas.