Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Arch Linux отравлен. CHAOS RAT прятался в AUR почти двое суток. (http://txgate.io:443/showthread.php?t=51302081)

Artifact 07-27-2025 02:12 PM
<div id="post_message_804369">

Пользователь разместил скрипты с трояном CHAOS RAT через AUR.<br/>
<br/>
В репозитории Arch User Repository (AUR), предназначенном для установки пользовательских пакетов в Arch Linux, <a href="https://lists.archlinux.org/archives/list/[email protected]/thread/7EZTJXLIAQLARQNTMEW2HBWZYE626IFJ/" target="_blank">были обнаружены</a> три вредоносных скрипта, которые использовались для установки трояна CHAOS RAT. Все они были загружены пользователем с ником danikpapas и замаскированы под пакеты для популярных браузеров. Речь шла о «librewolf-fix-bin», «firefox-patch-bin» и «zen-browser-patched-bin». Эти пакеты появились в AUR 16 июля и оставались доступными почти два дня, прежде чем были удалены командой Arch Linux по сигналу сообщества.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/4d6/p8mwn5ba793v4bpw8v5rjsfbpwkmkyss.png"/><br/>
<br/>
Вредоносные скрипты указывали на репозиторий на GitHub, где якобы находились патчи. На деле вместо исправлений там был размещён вредоносный код. При установке пакета репозиторий клонировался, и вредоносное содержимое запускалось в процессе сборки. Сам репозиторий уже удалён, но следы активности остались — архивы всех трёх пакетов удалось сохранить и проанализировать. Удалось выяснить, что пользователь начал загружать их начиная с 18:46 по всемирному времени.<br/>
<br/>
Позже на Reddit появилась активность со стороны старой, ранее неактивной учётной записи, которая стала продвигать вредоносные пакеты. Пользователи быстро заподозрили неладное, и один из них отправил подозрительный компонент на VirusTotal. Сервис определил его как вредоносную программу под названием CHAOS RAT.<br/>
<br/>
<a href="https://www.securitylab.ru/news/535237.php" target="_blank">CHAOS RAT</a> — это троян с открытым исходным кодом, работающий как на Windows, так и на Linux. Он способен загружать и скачивать файлы, выполнять команды и открывать удалённый доступ через обратный шелл. После установки вредоносное ПО подключается к удалённому серверу и ждёт новых команд, фактически предоставляя злоумышленнику полный контроль над заражённым устройством. В данном случае управление осуществлялось с сервера по адресу 130.162.225.47 на порту 8080.<br/>
<br/>
Вредонос может использоваться для <a href="https://www.securitylab.ru/news/556120.php" target="_blank">скрытого майнинга криптовалют</a> , <a href="https://www.securitylab.ru/news/534459.php" target="_blank">кражи данных</a> или проведения кибер <a href="https://www.ptsecurity.com/ru-ru/about/news/ehksperty-positive-technologies-obnaruzhili-virus-shpion-s-upravleniem-cherez-telegram/" target="_blank">шпионажа </a>. Пользователям, установившим один из заражённых пакетов, рекомендуется немедленно проверить систему на наличие исполняемого файла с названием «systemd-initd» в папке /tmp и при его обнаружении — удалить.<br/>
<br/>
Команда Arch Linux подчёркивает, что в AUR не предусмотрен централизованный аудит новых скриптов и ответственность за их проверку лежит на пользователях. Несмотря на это, инцидент вновь показал, насколько важно сохранять бдительность при установке даже, казалось бы, безопасных пакетов из открытых источников.<br/>
<br/>
<a href="https://www.securitylab.ru/news/561525.php" target="_blank">@ SecurityLab </a>
</div>


All times are GMT. The time now is 01:42 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.