В Ubuntu Snap Store і Chrome Web Store виявлені шкідливі пакети

3 хв. читання

Користувачі Ubuntu поскаржилися на вбудований майнер криптовалют в snap-пакеті 2048buntu, який розповсюджувався через Ubuntu Snap Store. Після скарги компанія Canonical видалила пакети із репозиторію та провела розслідування інциденту.

Виявляється, що код майнингу був замаскований під systemd і поставлявся як /snap/$name/current/systemd. Подальший розгляд питання дозволив виявити аналогічний шкідливий код в інших пакетах автора Nicolas Tomb. Користувачі сподіваються, що випадок зі шкідливими пакетами змусить компанію переглянути політику включення і рецензування програм в Ubuntu Snap Store, оскільки зараз розмістити пакет в каталозі може будь-хто.

Також 7 шкідливих доповнень до браузера було виявлено у каталозі Chrome Web, кожен з яких налічував до сотні тисяч завантажень. Щоб запобігти видаленню доповнення з боку користувача, після встановлення вкладка зі списком доповнень закривалась автоматично, а всі утиліти й інструменти Facebook і Google для виявлення шкідливої активності потрапляли у локальний чорний список.

В Ubuntu Snap Store і Chrome Web Store виявлені шкідливі пакети
Встановлення додатку через фейк-посилання

Після установки доповнення система користувача підключалася до ботнету, а інтегрований в доповнення шкідливий код дозволяв перехоплювати параметри облікових записів у Facebook і Instagram, збирати конфіденційні дані з Facebook, майнити криптовалюту, здійснювати підміну посилань при кліках в YouTube і розсилати друзям у Facebook посилання на ролики, що вимагають встановити шкідливі застосунки.

В Ubuntu Snap Store і Chrome Web Store виявлені шкідливі пакети
Схема роботи застосунків

В ході роботи вбудованого майнера зловмисникам за тиждень вдалося заробити близько $1000 (майнилась переважно криптовалюта monero).

Шкідливу активність зафіксували в доповненнях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate й iHabno. Через кілька годин після виявлення Google видалив проблемні доповнення з каталогу Chrome Web Store й ініціював процес повного видалення з боку користувацьких систем.

Компанія Canonical прокоментувала інцидент заявою про те, що майнинг в застосунках Snap Store не заборонений і не відноситься до числа незаконних операцій, тому проблема формально зводиться до появи застосунків з прихованою функціональністю й введення користувачів в оману.

У Snap Store застосовуються два основні методи перевірки:

  • автоматизоване тестування пакетів перед їх включенням до каталогу
  • ручне рецензування в разі виявлення підозрілостей.

Жоден каталог не може дозволити собі щодня переглядати сотні тисяч рядків нового коду, тому загалом репозиторії покладаються на добропорядність користувачів, а не на аналіз вмісту.

Інцидент був неприємною подією, але очікуваною, тому що будь-якому популярному каталогу слід бути готовим до зловживань. Canonical серйозно ставиться до подібних інцидентів і буде продовжувати стежити за вмістом каталогу й працювати над підвищенням безпеки платформи.

Наразі планується продовжити роботи по реалізації цікавих можливостей, пов'язаних із забезпеченням безпеки як системи в цілому, так і способів ізольованого розгортання застосунків. Розглядається можливість додавання в Snap Store градації за ступенем довіри — верифіковані автори пакетів позначатимуться спеціальною міткою, що дасть можливість користувачам легко ідентифікувати продукти від перевірених людей й організацій.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 6.8K
Приєднався: 6 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація