Пользователи Ubuntu обратили внимание (https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../) на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство (https://github.com/canonical-websites/snapcraft.io/issues/651) показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb (https://uappexplorer.com/snaps?q=author%3ANicolas+Tomb), в частности проблема присутствует в пакете hextris.
После поступления сообщения о проблеме вредоносные пакеты были удалены (https://github.com/canonical-websites/snapcraft.io/issues/65...) из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий.
Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся (https://webcache.googleusercontent.com/search?source=hp&ei=B...) как проприетарное ПО, в то время как распространяемая в нём игра 2048 распространяется (https://github.com/gabrielecirulli/2048) под лицензией MIT (мошенник, создавший вредоносный пакт, не связан с разработчиками игры).
Тем временем в каталоге Chrome Web Store выявлено (https://blog.radware.com/security/2018/05/nigelthorn-malware.../) семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок. Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности. Для распространения дополнений среди пользователей применялись методы социальной инжинерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения.
После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял перехватывает параметры учётных записей в Facebook и Instagram, собирал конфеденциальные данных из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YuoTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero).
Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала (https://arstechnica.com/information-technology/2018/05/malic.../) процесс удаления с систем пользователей.
URL: https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48592