1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


ArchLinux malware

Os utilizadores do sistema operativo Linux baseados na distribuição Arch devem redobrar a atenção, pois uma nova campanha maliciosa comprometeu mais de 400 pacotes no repositório AUR. A descoberta foi feita pela comunidade de inteligência independente IFIN, conforme detalhado no relatório da IFIN Network, e complementada pela análise técnica de Whanos, revelando um ataque focado no roubo de credenciais e na instalação de um rootkit avançado com privilégios no núcleo do sistema.

Como o ataque sequestra as tuas instalações

O Arch User Repository, habitualmente usado para aceder às versões mais recentes de software ou a utilitários de nicho que não figuram nos repositórios oficiais, tornou-se o alvo perfeito para cibercriminosos. Devido à sua natureza gerida pela comunidade, o espaço não conta com uma moderação exaustiva a cada carregamento. Os atacantes aproveitaram esta lacuna para assumir o controlo de pacotes órfãos e falsificar a identidade de editores de confiança.

O método passa pela alteração do ficheiro PKGBUILD, que contém as instruções de compilação da aplicação desejada. Durante o processo normal de instalação, um script oculto no código descarrega e executa de forma silenciosa um pacote malicioso através do gestor npm, intitulado atomic-lockfile.

O perigo do rootkit e o roubo massivo de dados

Assim que a carga entra na máquina, o cenário agrava-se rapidamente. A ameaça instala um componente concebido para desviar credenciais e segredos de estações de trabalho de programadores. A extensa lista de alvos inclui bases de dados de cookies dos navegadores, tokens de plataformas de código como o GitHub, artefactos de ligações remotas SSH, chaves de redes virtuais privadas e ficheiros de ferramentas de comunicação diária como o Slack, o Microsoft Teams e o Discord.

Para além de extrair e carregar os teus ficheiros confidenciais para servidores externos através de envios HTTP regulares, o malware tira partido da tecnologia eBPF para operar diretamente no sistema com privilégios máximos. Isto significa que o rootkit consegue esconder processos ativos e ocultar os próprios ficheiros no computador, dificultando enormemente a sua deteção pelos métodos tradicionais de varrimento.

A equipa de manutenção do repositório já se encontra a trabalhar para tentar remover todas as versões comprometidas e banir as contas associadas a estas alterações. Se tens o hábito de instalar soluções a partir do AUR sem verificar o código, deves rever de imediato o teu ambiente de trabalho. Os investigadores de segurança recomendam a alteração de todas as tuas palavras-passe e acesso digitais. Caso encontres sinais ou vestígios deste pacote malicioso, a medida mais prudente passa por formatares a máquina e reinstalares a tua distribuição de raiz, uma vez que um rootkit desta natureza pode facilmente sobreviver a intervenções superficiais de limpeza.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech