コンテンツにスキップするには Enter キーを押してください

Arch Linux、CHAOS RATマルウェアをインストールするAURパッケージを削除

投稿日 2025年7月19日

Image

Arch Linuxは、Arch User Repository(AUR)にアップロードされた3つの悪意のあるパッケージを削除しました。これらはLinuxデバイスにCHAOSリモートアクセス型トロイの木馬(RAT)をインストールするために使用されていました。

パッケージ名は「librewolf-fix-bin」、「firefox-patch-bin」、「zen-browser-patched-bin」で、7月16日に同じユーザー「danikpapas」によりアップロードされました。

これらのパッケージは、コミュニティによって悪意のあるものと指摘された後、2日後にArch Linuxチームによって削除されました。

「7月16日、UTC+2の午後8時頃、悪意のあるAURパッケージがAURにアップロードされました」とAURの管理者が警告しています。

「同じユーザーによって数時間後にさらに2つの悪意のあるパッケージがアップロードされました。これらのパッケージは、リモートアクセス型トロイの木馬(RAT)として特定された同じGitHubリポジトリからスクリプトをインストールしていました。」

Image
悪意のあるAURパッケージの一つ
出典:BleepingComputer

AURは、Arch Linuxユーザーがパッケージビルドスクリプト(PKGBUILD)を公開できるリポジトリであり、オペレーティングシステムに含まれていないソフトウェアのダウンロード、ビルド、インストールを自動化します。

しかし、他の多くのパッケージリポジトリと同様に、AURには新規または更新されたパッケージのフォーマット審査プロセスがなく、パッケージのビルドやインストール前にコードやインストールスクリプトを確認する責任はユーザーにあります。

現在はすべてのパッケージが削除されていますが、BleepingComputerは3つすべてのアーカイブコピーを発見し、攻撃者が7月16日18:46 UTCにパッケージの提出を開始したことを示しています。

各パッケージ「librewolf-fix-bin」、「firefox-patch-bin」、「zen-browser-patched-bin」には、PKGBUILDファイル内に「patches」というソースエントリが含まれており、攻撃者が管理するGitHubリポジトリ(https://github.com/danikpapas/zenbrowser-patch.git)を指していました。

BUILDPKGが処理されると、このリポジトリがクローンされ、パッケージのパッチ適用やビルドプロセスの一部として扱われます。しかし、正規のパッチではなく、GitHubリポジトリにはビルドまたはインストール時に実行される悪意のあるコードが含まれていました。

このGitHubリポジトリはすでに削除されており、.gitリポジトリも分析できなくなっています。

しかし、Redditのアカウントが本日、プラットフォーム上のさまざまなArch Linuxスレッドに反応し、これらのパッケージをAURで宣伝していました。コメントは、数年間休眠していたと思われるアカウントによって投稿されており、悪意のあるパッケージの拡散のために侵害された可能性があります。

Reddit上のArchユーザーはすぐにコメントを不審に思い、そのうちの一人がコンポーネントの一つをVirusTotalにアップロードしたところ、Linuxマルウェア「CHAOS RAT」として検出されました。

CHAOS RATは、WindowsおよびLinux向けのオープンソースリモートアクセス型トロイの木馬(RAT)で、ファイルのアップロード・ダウンロード、コマンドの実行、リバースシェルの開設などが可能です。最終的に、攻撃者は感染デバイスに完全にアクセスできます。

インストールされると、マルウェアはコマンド&コントロール(C2)サーバーに繰り返し接続し、実行するコマンドを待機します。このキャンペーンでは、C2サーバーは130.162[.]225[.]47:8080にありました。

このマルウェアは暗号通貨マイニングキャンペーンでよく使用されますが、認証情報の収集、データの窃取、サイバースパイ活動にも利用される可能性があります。

マルウェアの深刻さから、誤ってこれらのパッケージをインストールした人は、/tmpフォルダに存在する可能性がある不審な「systemd-initd」実行ファイルがコンピュータ上で動作していないか直ちに確認し、見つかった場合は削除してください。

Arch Linuxチームは、7月18日午後6時頃(UTC+2)までに3つすべてのパッケージを削除しました。

「これらのパッケージのいずれかをインストールした可能性のあるユーザーは、直ちにシステムから削除し、侵害されていないことを確認するために必要な措置を講じることを強く推奨します」とArch Linuxチームは警告しています。


Wiz

CISOが実際に使うボードレポートデッキ

CISOは、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが、経営陣の賛同を得る第一歩であることを知っています。

この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを有意義な会話と迅速な意思決定につなげましょう。

翻訳元: https://www.bleepingcomputer.com/news/security/arch-linux-pulls-aur-packages-that-installed-chaos-rat-malware/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です