TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พบมัลแวร์ฝังอยู่ในแพ็กเกจ Arch Linux จำนวน 3 แพ็กเกจ (Distribution หนึ่งของ Linux ที่มีเครื่องมือติดมาน้อยมากๆ) ที่อยู่บน AUR หรือ Arch User Repository ที่สามารถหาดาวน์โหลดตัวแพ็กเกจ Arch เหล่านี้ อย่างไรก็ตามทางทีมงานของ AUR สามารถจัดการได้อย่างรวดเร็ว
เหตุการณ์เกิดขึ้นเพราะ AUR จะอนุญาตให้ใครก็ตามสามารถเข้าดูแลโปรเจ็คที่ถูกทิ้งร้างโดยผู้เขียนต้นฉบับ จึงเป็นที่มาให้มีผู้ใช้คนหนึ่งนามแฝงว่า ‘xeactor’ เข้าไปยึดโปรเจ็คที่ชื่อ ‘acroread’ ซึ่งช่วยให้ผู้ใช้ Arch Linux เรียกดูไฟล์ PDF ได้ จากนั้นคนร้ายก็ได้เพิ่มโค้ดอันตรายที่เข้าไปดาวน์โหลดไฟล์ ‘ ~x’ จาก ptpb.pw เว็บไซต์ที่ลอกเลียน Pastebin (เป็นบริการที่ให้ผู้ใช้งานแชร์เนื้อหา Text ได้)
โดยถ้าหากผู้ใช้เริ่มติดตั้งแพ็กเกจของคนร้ายเครื่องคอมพิวเตอร์ของเหยื่อจะไปดาวน์โหลดและรันไฟล์ดังกล่าว ซึ่งในเวลาต่อมาก็จะไปเรียกไฟล์อีกตัวที่ชื่อ ‘~u’ อันที่จริงแล้วความตั้งใจของคนร้ายคือ ~x จะเข้าไปแก้ไข Systemd และเพิ่มตัวจับเวลาให้รันไฟล์ ~u ทุก 5 นาทีนั่นเอง ในส่วนวัตถุประสงค์ของไฟล์ ~u ก็ไม่ได้รุนแรงมากนักเพียงแต่ไปดึงข้อมูลของเครื่องเหยื่อ เช่น วันเวลา ID เครื่อง รายละเอียด CPU และตัวจัดการแพ็กเกจ รวมถึงผลลัพธ์ของคำสั่ง uname -a และ systemcl list-units ไปโพสต์ไว้ในไฟล์ Pastebin ผ่าน API ที่ถูกคนร้ายปรับแต่งมาแล้ว
อย่างไรก็ตามทีม AUR ก็พบแพ็กเกจอื่นภายใต้การดูแลของ xeactor อีก 2 ตัวทั้งหมดมีดังนี้ acroread 9.5.58, balz 1.20-3 และ minergate 8.1-2 นอกจากนี้ทีมงานได้จัดการไฟล์ที่ถูกแทรกแซงเรียบร้อยและบัญชี xeactor ก็โดนหยุดไว้แล้วเช่นกัน สำหรับผู้ที่สับสนคือไฟล์จาก AUR นั้นถูกส่งมาโดยผู้ใช้งานทั่วไปซึ่งทางทีมงานก็แจ้งไว้แล้วว่าให้ตรวจสอบให้ดี และอีกที่หนึ่งคือ Arch Building System (ABS) หรือจุดดาวน์โหลดแพ็กเกจแบบเป็นทางการมาจากต้นทางที่เชื่อถือได้
ที่มา : https://www.bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository/
