El malware contra GNU/Linux todavía no es muy común, pero es algo que está al alza desde hace tiempo y no, no solo afecta a tecnologías de Canonical como Snap, sino que distribuciones y tecnologías menos populares tampoco se libran de tener problemas..

Según informan desde Linux Uprising, el 7 de junio del presente año se encontró un paquete AUR que fue modificado con código malicioso, algo que tendría que recordar a los usuarios que deberían comprobar los paquetes que se generan antes de instalarlos.

Para los que anden perdidos, un AUR (Arch User Repository) es un repositorio promovido por los usuarios de la comunidad de Arch Linux, el cual contiene descripciones de los paquetes llamadas «PKGBUILD» que le permiten compilar un paquete desde el código fuente con «makepkg» y luego instalarlo mediante Pacman. Sin embargo, a pesar de ser muy útil, no hay que olvidar que los AUR son contenidos creados por usuarios, por lo que lo generado a través de ellos nunca tendría que ser tratado como material seguro.

El paquete AUR con el código malicioso estaba marcado como huérfano, pero el 7 de junio fue actualizado por un usuario llamado Xeactor para incluir un comando «curl» para descargar un script desde Pastebin. Luego este script descargaba otro e instalaba una unidad de systemd para programar una ejecución periódica. Tras el descubrimiento de este AUR modificado con propósitos maliciosos, se descubrieron otros dos repositorios del mismo tipo actualizados con el mismo propósito. Además, según se ha podido saber a través de Reddit, Xeactor también ha publicado paquetes con mineros maliciosos para posiblemente intentar implantarlos en instalaciones de Arch Linux.

Sobre el código malicioso encontrado en los paquetes AUR, no parecía que fuese especialmente dañino, ya que intentaba extraer información del sistema, abarcando el ID de la máquina, la salida producida mediante los comandos “uname -a” y “systemctl list-units”, la información de la CPU y la información de Pacman. Sin embargo, un fallo provocado por la llamada a una función que no existe hace que el proceso no se complete, ya que el programador puso upload en lugar de uploader, nombre establecido en la declaración. ¿Fallo accidental o estamos ante unos hackers sin experiencia? En los scripts también se encontraron la clave personal de la API de Pastebin pegada en texto plano, lo que deja en evidencia que los programadores que están detrás de esto no tienen mucha idea. Tras descubrirse estos repositorios maliciosos, la comunidad de Arch Linux decidió suspender la cuenta vinculada y eliminar los paquetes malintencionados.

Aunque Windows es el sistema operativo más acosado (a pesar del ascenso de Android en este sentido), el malware en realidad no entiende de sistemas operativos. Los usuarios de GNU/Linux tienen tendencia a confiar en exceso en la seguridad ofrecida por el sistema, cuando la carpeta personal sí está expuesta a ataques como los de ransomware, que no necesariamente tienen dañar ni alcanzar ficheros del sistema.