Arch Linux удалил три пакета из AUR, распространявших троян CHAOS

Arch Linux удалил три пакета из AUR, распространявших троян CHAOS

Arch Linux удалил три пакета из AUR, распространявших троян CHAOS

Пользователи Arch Linux снова столкнулись с проблемой: в Arch User Repository (AUR) были загружены три вредоносных пакета, которые устанавливали удалённый доступ на систему через троян CHAOS. Пакеты были загружены 16 июля пользователем с ником danikpapas и успели повисеть в AUR два дня, после чего Arch Linux оперативно их удалила.

Речь о пакетах под названиями:

  • librewolf-fix-bin
  • firefox-patch-bin
  • zen-browser-patched-bin

Эти пакеты тянули скрипт из GitHub-репозитория, замаскированного под патч. На деле внутри был троян CHAOS, который даёт злоумышленнику полный удалённый доступ к системе: можно запускать команды, загружать и скачивать файлы, открывать обратную консоль — в общем, полный контроль.

Особенно опасно, что троян подключается к C2-серверу (в данном случае — 130.162[.]225[.]47:8080) и ждёт команд. Его уже использовали для майнинга крипты, кражи данных и шпионской активности.

Кто-то даже пытался рекламировать эти пакеты на Reddit, причём с давно заброшенного и, судя по всему, взломанного аккаунта. Пользователи быстро заметили неладное — один из них проверил компонент на VirusTotal, и система распознала вредонос как CHAOS RAT.

Если вы вдруг успели установить один из этих пакетов — срочно проверьте, не запущен ли у вас процесс systemd-initd, особенно из временной директории /tmp. Если есть — немедленно удаляйте и проводите проверку системы на следы компрометации.

Команда Arch Linux предупреждает:

«Удалите вредоносные пакеты и примите все необходимые меры, чтобы убедиться, что ваша система не была скомпрометирована».

Классическое напоминание: AUR — это удобно, но небезопасно. Перед установкой любого пакета стоит внимательно читать PKGBUILD и проверять, откуда тянутся зависимости и скрипты. В этот раз — спасло сообщество, но не всегда можно рассчитывать на удачу.

Российский браузер Восток обещает открыть Рунет без танцев с сертификатами

В реестре отечественного ПО появился новый браузер «Восток». Его создатели обещают избавить пользователей от вечной головной боли с российскими сертификатами. Компания «Борей Технологии» сообщила, что интернет-обозреватель, разработанный совместно с «Адвилабс-Рус», официально включен в реестр российского программного обеспечения.

Продукт ориентирован как на корпоративный сектор, так и на обычных пользователей.

Главная фишка новинки — встроенная поддержка сразу двух миров. Браузер умеет работать как с российскими криптографическими алгоритмами и отечественными сертификатами, так и с международным протоколом TLS.

По задумке разработчиков, это позволит без дополнительных настроек открывать и российские государственные сервисы, и зарубежные сайты.

Проблема хорошо знакома многим пользователям: браузеры на базе Chromium не доверяют корневым сертификатам российских удостоверяющих центров, из-за чего некоторые сайты открываются с предупреждениями или вовсе отказываются работать. В «Востоке» обещают решить этот вопрос из коробки.

Интересно и другое: несмотря на привычное доминирование Chromium, новый браузер построен на базе Firefox. По словам разработчиков, все используемые библиотеки были заново собраны, а лишний тестовый код удалён.

Генеральный директор «Борей Технологии» Виктор Макин утверждает, что «Восток» стал первым браузером общего назначения на базе Firefox, который одновременно поддерживает российские криптографические алгоритмы и международные стандарты шифрования, не используя Chromium.

На этом планы компании не заканчиваются. В будущем разработчики намерены выпустить мобильную версию браузера, а также сборку для Windows.

RSS: Новости на портале Anti-Malware.ru