A comunidade Arch Linux esteve em alerta esta semana após a descoberta de três pacotes maliciosos no Arch User Repository (AUR). Estes pacotes, disfarçados de correções para navegadores de internet, instalavam secretamente um perigoso trojan de acesso remoto (RAT) conhecido como CHAOS nos sistemas dos utilizadores.
Os pacotes e o ataque
Os três pacotes maliciosos, identificados como "librewolf-fix-bin", "firefox-patch-bin" e "zen-browser-patched-bin", foram carregados no repositório no dia 16 de julho por um único utilizador com o nome "danikpapas". A equipa do Arch Linux, alertada pela comunidade, agiu rapidamente e removeu os pacotes ofensivos dois dias depois, a 18 de julho.
O método do ataque era subtil. O ficheiro de compilação de cada pacote (PKGBUILD) continha uma entrada que apontava para um repositório no GitHub controlado pelo atacante. Em vez de descarregar um patch legítimo, o sistema da vítima clonava este repositório, que continha código malicioso executado durante o processo de instalação ou construção do pacote.
O repositório do GitHub foi entretanto removido, impossibilitando uma análise mais aprofundada do código fonte original do ataque.
CHAOS RAT: A ameaça escondida
A ameaça escondida nestes pacotes era o CHAOS, um trojan de acesso remoto de código aberto que funciona tanto em Windows como em Linux. Uma vez instalado, o malware concede aos atacantes controlo quase total sobre o dispositivo infetado.
As capacidades do CHAOS incluem:
Carregar e descarregar ficheiros
Executar comandos arbitrários no sistema
Abrir uma shell reversa para controlo direto
Essencialmente, quem tem o controlo do CHAOS tem as chaves do sistema. O malware conectava-se repetidamente a um servidor de comando e controlo (C2) localizado no endereço 130.162[.]225[.]47:8080, onde aguardava por instruções. Este tipo de malware é frequentemente utilizado em campanhas de mineração de criptomoedas, mas também é eficaz para roubo de credenciais, extração de dados e ciberespionagem.
A comunidade reagiu a tempo
A descoberta da ameaça partiu da própria comunidade. Um utilizador do Reddit, que se suspeita ter tido a conta comprometida, começou a promover os pacotes maliciosos em vários tópicos relacionados com o Arch Linux. Os utilizadores mais atentos rapidamente acharam os comentários suspeitos.
Um deles decidiu analisar um dos componentes e carregou-o para o VirusTotal, um serviço que analisa ficheiros com múltiplos motores de antivírus. O resultado foi claro: o ficheiro foi detetado como sendo o malware CHAOS RAT, confirmando as suspeitas e despoletando o alerta geral.
Estou infetado? O que devo fazer?
Os mantenedores do AUR emitiram um aviso à comunidade, instando os utilizadores a tomar medidas imediatas. "Recomendamos vivamente que os utilizadores que possam ter instalado um destes pacotes os removam do seu sistema e tomem as medidas necessárias para garantir que não foram comprometidos", pode ler-se no comunicado.
Se instalou algum dos pacotes mencionados, deve verificar imediatamente o seu sistema. A principal indicação da infeção é a presença de um executável suspeito chamado "systemd-initd", que pode estar localizado na pasta /tmp. Caso o encontre, deve eliminá-lo de imediato e proceder à remoção dos pacotes maliciosos.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech