Користувачі Ubuntu поскаржилися на вбудований майнер криптовалют в snap-пакеті 2048buntu, який розповсюджувався через Ubuntu Snap Store. Після скарги компанія Canonical видалила пакети із репозиторію та провела розслідування інциденту.
Виявляється, що код майнингу був замаскований під systemd і поставлявся як /snap/$name/current/systemd. Подальший розгляд питання дозволив виявити аналогічний шкідливий код в інших пакетах автора Nicolas Tomb. Користувачі сподіваються, що випадок зі шкідливими пакетами змусить компанію переглянути політику включення і рецензування програм в Ubuntu Snap Store, оскільки зараз розмістити пакет в каталозі може будь-хто.
Також 7 шкідливих доповнень до браузера було виявлено у каталозі Chrome Web, кожен з яких налічував до сотні тисяч завантажень. Щоб запобігти видаленню доповнення з боку користувача, після встановлення вкладка зі списком доповнень закривалась автоматично, а всі утиліти й інструменти Facebook і Google для виявлення шкідливої активності потрапляли у локальний чорний список.
Після установки доповнення система користувача підключалася до ботнету, а інтегрований в доповнення шкідливий код дозволяв перехоплювати параметри облікових записів у Facebook і Instagram, збирати конфіденційні дані з Facebook, майнити криптовалюту, здійснювати підміну посилань при кліках в YouTube і розсилати друзям у Facebook посилання на ролики, що вимагають встановити шкідливі застосунки.
В ході роботи вбудованого майнера зловмисникам за тиждень вдалося заробити близько $1000 (майнилась переважно криптовалюта monero).
Шкідливу активність зафіксували в доповненнях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate й iHabno. Через кілька годин після виявлення Google видалив проблемні доповнення з каталогу Chrome Web Store й ініціював процес повного видалення з боку користувацьких систем.
Компанія Canonical прокоментувала інцидент заявою про те, що майнинг в застосунках Snap Store не заборонений і не відноситься до числа незаконних операцій, тому проблема формально зводиться до появи застосунків з прихованою функціональністю й введення користувачів в оману.
У Snap Store застосовуються два основні методи перевірки:
- автоматизоване тестування пакетів перед їх включенням до каталогу
- ручне рецензування в разі виявлення підозрілостей.
Жоден каталог не може дозволити собі щодня переглядати сотні тисяч рядків нового коду, тому загалом репозиторії покладаються на добропорядність користувачів, а не на аналіз вмісту.
Інцидент був неприємною подією, але очікуваною, тому що будь-якому популярному каталогу слід бути готовим до зловживань. Canonical серйозно ставиться до подібних інцидентів і буде продовжувати стежити за вмістом каталогу й працювати над підвищенням безпеки платформи.
Наразі планується продовжити роботи по реалізації цікавих можливостей, пов'язаних із забезпеченням безпеки як системи в цілому, так і способів ізольованого розгортання застосунків. Розглядається можливість додавання в Snap Store градації за ступенем довіри — верифіковані автори пакетів позначатимуться спеціальною міткою, що дасть можливість користувачам легко ідентифікувати продукти від перевірених людей й організацій.
Ще немає коментарів