Arch Linux : trois paquets AUR malveillants destinés à installer le malware Chaos RAT

Violence

Trois paquets malveillants ont été déposés sur le dépôt communautaire utilisé par Arch Linux : l’Arch User Repository. Ces paquets installaient en réalité le logiciel malveillant Chaos, un Cheval de Troie capable de donner un accès distant à la machine infectée. Faisons le point.

Des malwares dans le dépôt communautaire d’Arch Linux

L’Arch User Repository (AUR) est un dépôt de paquets sur lequel les utilisateurs d’Arch Linux peuvent trouver des applications et paquets en tout genre non disponibles dans les dépôts officiels. En effet, il s’agit d’un dépôt communautaire. Cependant, il repose sur la confiance et la vigilance des utilisateurs, car il n’y a pas de réel processus de validation : n’importe qui peut déposer un paquet.

Et, pour preuve, le 16 juillet dernier, un utilisateur avec le pseudo “danikpapas” a mis en ligne trois paquets sur l’AUR : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. Ces derniers dissimulaient un script d’installation malveillant.

“Le 16 juillet, vers 20 heures UTC+2, un paquet AUR malveillant a été téléchargé sur le site AUR.”, peut-on lire sur le site d’Arch Linux. Ce paquet n’était pas seul, puisqu’il y a eu deux autres paquets chargés par le même utilisateur.

Deux autres paquets malveillants ont été téléchargés par le même utilisateur quelques heures plus tard. Ces paquets installaient un script provenant du même dépôt GitHub qui a été identifié comme un cheval de Troie d’accès à distance (RAT).

La méthode était simple, mais efficace : le fichier de construction PKGBUILD de chaque paquet contenait une instruction pour cloner un dépôt GitHub (par exemple : https[:]//github.com/danikpapas/zenbrowser-patch.git). Ce qui signifie que le système téléchargeait et exécutait le code du malware durant le processus de construction du paquet. L’utilisation de scripts de construction de paquets, appelés PKGBUILD, est tout à fait normal dans le contexte d’Arch Linux.

Qu’est-ce que le malware Chaos RAT ?

Le logiciel malveillant Chaos est un RAT, c’est-à-dire un cheval de Troie d’accès à distance (Remote Access Trojan). Une fois installé sur une machine, il se connecte à un serveur C2 (commande et contrôle), ici localisé à l’adresse 130[.]162.225.47:8080, et attend les ordres des cybercriminels !

L’attaquant dispose alors d’un accès distant sur le système compromis: il peut télécharger et envoyer des fichiers, exécuter des commandes arbitraires ou encore ouvrir un reverse shell. Ceci ouvre la porte à des actions malveillantes, comme le vol d’identifiants ou de données.

La bonne nouvelle, c’est que le nettoyage a été fait suite aux signalements de certains utilisateurs qui ont pris la peine d’analyser les paquets sur VirusTotal :

• Les dépôts GitHub associés à cette campagne ont été supprimés.
• Les trois paquets malveillants ont été supprimés par l’équipe d’Arch Linux le 18 juillet.

Pour les utilisateurs qui auraient pu installer l’un de ces paquets, vous devez vérifier votre machine. Recherchez la présence d’un exécutable suspect nommé systemd-initd, potentiellement situé dans le dossier /tmp.

– Source :

https://www.it-connect.fr/arch-linux-trois-paquets-aur-malveillants-destines-a-installer-le-malware-chaos-rat/