شناسایی و حذف بدافزار Chaos RAT در برخی بستههای AUR توسط Arch Linux
Arch Linux سه بسته مخرب در مخزن Arch User Repository (AUR) را که برای نصب بدافزار کنترل از راه دور CHAOS (RAT) روی دستگاههای لینوکسی مورد استفاده قرار گرفته بودند، حذف کرد.
نام این بستهها “librewolf-fix-bin”، “firefox-patch-bin” و “zen-browser-patched-bin” بوده و در تاریخ ۱۶ جولای توسط کاربری با نام “danikpapas” در AUR آپلود شده بودند.
دو روز پس از انتشار، این بستهها با گزارش جامعه کاربران بهعنوان مخرب شناسایی شده و توسط تیم Arch Linux حذف شدند.
نگهدارندگان مخزن AUR هشدار دادند:
«در تاریخ ۱۶ جولای حدود ساعت ۸ شب به وقت UTC+2، یک بسته مخرب در AUR آپلود شد. چند ساعت بعد، دو بسته مخرب دیگر نیز توسط همان کاربر بارگذاری شدند. این بستهها اسکریپتی را نصب میکردند که از یک مخزن GitHub فراخوانی میشد و بهعنوان Remote Access Trojan (RAT) شناسایی شده است.»
AUR (Arch User Repository) مخزنی است که در آن کاربران Arch Linux میتوانند اسکریپتهای ساخت بسته (PKGBUILD) را منتشر کنند تا فرآیند دانلود، کامپایل و نصب نرمافزارهایی که در سیستمعامل بهطور پیشفرض موجود نیستند را خودکارسازی کنند.
با این حال، مانند بسیاری از مخازن مشابه، AUR فاقد فرآیند بازبینی ساختار برای بستههای جدید یا بهروزرسانیشده است. بنابراین مسئولیت بررسی کد و اسکریپتهای نصب پیش از ساخت و نصب بسته، به عهده کاربر است.
اگرچه تمامی بستههای مخرب اکنون حذف شدهاند، BleepingComputer نسخههای آرشیوشده هر سه بسته را شناسایی کرده است. طبق یافتهها، مهاجم ارسال این بستهها را از ساعت ۱۸:۴۶ UTC در تاریخ ۱۶ جولای آغاز کرده بود.
هر سه بسته، شامل “librewolf-fix-bin”، “firefox-patch-bin” و “zen-browser-patched-bin”، دارای یک ورودی به نام patches در فایل PKGBUILD بودند که به یک مخزن GitHub تحت کنترل مهاجم اشاره میکرد:
https://github.com/danikpapas/zenbrowser-patch.git
در فرآیند ساخت بسته (build)، این مخزن کلون شده و بهعنوان بخشی از مراحل patching و build در نظر گرفته میشود. اما بهجای آنکه یک اصلاح واقعی باشد، این مخزن GitHub حاوی کد مخربی بود که در مرحله ساخت یا نصب اجرا میشد.
این مخزن GitHub اکنون حذف شده و محتوای آن برای تحلیل در دسترس نیست.
با این حال، یک حساب کاربری در Reddit که بهنظر میرسد برای مدت طولانی غیرفعال بوده و احتمالاً بهمنظور انتشار بستههای مخرب مورد سوءاستفاده قرار گرفته، امروز در چندین موضوع مرتبط با Arch Linux شروع به تبلیغ این بستهها کرد.
کاربران Arch در Reddit به سرعت نسبت به این نظرات مشکوک شدند. یکی از کاربران یکی از اجزای بسته را در سرویس VirusTotal بارگذاری کرد که آن را بهعنوان بدافزار لینوکسی به نام CHAOS RAT شناسایی کرد.
CHAOS RAT یک بدافزار کنترل از راه دور (RAT) متنباز برای سیستمعاملهای Windows و Linux است که قابلیتهایی نظیر بارگذاری و دانلود فایل، اجرای دستورات و راهاندازی reverse shell را فراهم میکند. در نتیجه، مهاجمان دسترسی کامل به سیستم آلوده خواهند داشت.
پس از نصب، بدافزار بهطور مکرر به یک سرور فرمان و کنترل (C2) متصل شده و در انتظار دریافت دستورات باقی میماند. در این کارزار، آدرس C2 برابر بود با:
۱۳۰٫۱۶۲[.]۲۲۵[.]۴۷:۸۰۸۰
این بدافزار اغلب در کمپینهای استخراج ارز دیجیتال مورد استفاده قرار میگیرد، اما همچنین قابلیت سرقت اطلاعات کاربری، برداشت داده یا جاسوسی سایبری را نیز دارد.
با توجه به شدت تهدید، به کاربرانی که احتمال میدهند ناخواسته این بستهها را نصب کردهاند، توصیه میشود فوراً وجود فایل اجرایی مشکوکی به نام systemd-initd را بررسی کنند که ممکن است در مسیر /tmp قرار داشته باشد. در صورت شناسایی، باید بلافاصله حذف شود.
تیم Arch Linux هر سه بسته را در تاریخ ۱۸ جولای، حدود ساعت ۶ عصر به وقت UTC+2 حذف کرد.
تیم Arch Linux هشدار داد:
«ما بهشدت توصیه میکنیم کاربرانی که احتمال میدهند یکی از این بستهها را نصب کردهاند، فوراً آنها را از سیستم خود حذف کرده و اقدامات لازم برای اطمینان از عدم نفوذ را انجام دهند.»
