Malware nel repository di Arch Linux. Il codice malevolo era nascosto in un componente per la gestione dei PDF. Gli esperti: “era il primo passo per un attacco più elaborato”.
Ci sono dozzine di ottimi motivi per cui i pirati prendono di mira gli utenti Linux. Il principale è che, di solito, il sistema operativo open source viene installato sui server, che rappresentano bersagli privilegiati per i cyber-criminali.
Da un lato perché si trovano di solito in ambienti aziendali o comunque collegati alla gestione di sistemi complessi, dall’altra perché si tratta normalmente di macchine piuttosto potenti, che tornano utili sia per portare attacchi DDoS, sia per generare cripto-valuta.
C’è poco da stupirsi, quindi, che qualcuno abbia deciso di prendere di mira Arch Linux, una delle distro più “smanettone” in circolazione. In passato, la stessa sorte era toccata a Gentoo Linux, anche se in quel caso le cose erano andate un po’ diversamente.
A differenza di quanto accaduto nel caso di Gentoo, quando i pirati avevano addirittura hackerato il repository, l’attacco ad Arch Linux è stato molto più blando.
Il pirata informatico in questione, registrato con il nickname di xeactor, si è limitato a modificare un pacchetto sul repository per inserirvi un malware. Nel dettaglio, il componente preso di mira era acroread, un pacchetto per la gestione dei file PDF.
Stando a quanto riportato dagli amministratori del repository, il malware non aveva funzioni particolarmente evolute, ma si limitava a sottrarre informazioni riguardanti la macchina su cui veniva installato. Con tutta probabilità, sottolineano gli esperti di sicurezza che lo hanno analizzato, si trattava di uno strumento per preparare il terreno a un attacco più specifico.
L’episodio, però, conferma una tendenza piuttosto preoccupante. Sempre più spesso, infatti, pirati informatici prendono di mira repository e risorse condivise per distribuire il loro malware.
Una tecnica, questa, che gli consente di ottenere il massimo risultato con il minimo sforzo, come è rischiato di succedere quando un gruppo di cyber-criminali ha preso di mira il repository di Docker inserendovi un variegato campionario di malware.
Lascia un commento