Los investigadores de seguridad descubrieron que los actores de amenaza habían cargado tres paquetes de navegador corruptos, Firefox-Patch-Bin, Librewolf-Fix-Bin y Zen-Browser-Bin-Bin, al Repositorio de usuario de Arch (AUR).
Estos paquetes parecían ser horquillas benignas de los populares navegadores con sede en Firefox, pero instalaron en secreto un troyano de acceso remoto (rata) sacando y ejecutando un script desde un repositorio de Github malicioso.
El equipo de Arch Linux eliminó los paquetes ofensivos dentro de las 48 horas posteriores a su carga inicial, pero no antes de que un número desconocido de sistemas pudiera haberse comprometido.
Control de llave
1. Los paquetes falsos de Firefox AUR descargaron y ejecutaron un troyano de acceso remoto desde GitHub.
2. La rata instaló un servicio Systemd creando capas inversas encriptadas en el puerto 443.
3. Arch Linux eliminó los paquetes e instó a los usuarios a desinstalar y verificar si hay agente de rata.
Se insta a los usuarios que instalaron cualquiera de estos paquetes para verificar la integridad, rotar las credenciales y realizar controles forenses para obtener indicadores de compromiso.
Paquetes de AUR maliciosos descubiertos
A finales del 16 de julio, aproximadamente a las 20:00 UTC+2, el primero de los tres paquetes contaminados, Firefox-Patch-bin, se cargó debajo de los dlagentes del manejo del mantenedor al AUR.
Este paquete de paquetes contenía una función install () modificada que descargaba un script de shell de https://raw.githubuserContent.com/dlagents/rat-scripts/main/install.sh y lo ejecutó con privilegios raíz. El gancho posterior a la instalación incluyó:
Unas horas más tarde, dos paquetes de hermanos (Librewolf-Fix-Bin y Zen-Browser-Bin-Bin, apartados, cada uno de los que incrusta la lógica de instalación de ratas idénticas pero disfrazadas de las correcciones de las horquillas de Firefox de Firefox.
La comunidad marcó rápidamente estas cargas después de que los recuentos de descarga se dispararon inusualmente, lo que provocó una alerta automatizada en scripts de compilación anómalos.
El análisis forense inicial mostró que el script instalado Install.SH estableció la persistencia colocando un archivo de la unidad Systemd en /etc/systemd/system/rat-agent.service e invocándolo de inmediato:
Tras la ejecución, el agente de rata abrió una carcasa inversa en el puerto TCP 443, proxyando el tráfico a través de un túnel WebSocket ofuscado para evadir la detección directa.
El binario en sí empleó técnicas de embalaje comunes, eliminando símbolos de depuración y empleando AES-128-CBC para cifrar su bloque de configuración, que contenía puntos finales de comando y control (C2).
Los indicadores de compromiso incluyeron conexiones de salida inesperadas a rat-dns.example.com y la creación de ~/.cache/rat/agente.log.
Según el consultivoEl equipo de seguridad de Arch Linux revocó los privilegios del mantenedor y purgó las entradas maliciosas del AUR el 18 de julio a las 18:00 UTC+2.
Se emitió un aviso de seguridad, instando a los usuarios a buscar los paquetes infectados a través de Pacman -Q Firefox-Bin y nombres relacionados, desinstalarlos e inspeccionar /etc/systemd/system/rat-agent.service para la eliminación.
Los usuarios que creen que instalaron cualquiera de los paquetes comprometidos debe eliminarlos de inmediato y auditar sus sistemas para los artefactos de persistencia antes mencionados.
Las mejores prácticas de seguridad, como verificar las firmas de PGP en las presentaciones de AUR, aprovechar los arc-audit por escaneos de vulnerabilidades y confinar a AUR se acumula a contenedores aislados puede mitigar futuras amenazas de la cadena de suministro.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
