В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты
Как сообщает opennet.ru пользователи Ubuntu обратили внимание на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb, в частности проблема присутствует в пакете hextris.
После поступления сообщения о проблеме вредоносные пакеты были удалены из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий.
Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся как проприетарное ПО, в то время как распространяемая в нем игра 2048 распространяется под лицензией MIT (мошенник, создавший вредоносный пакет, не связан с разработчиками игры).
Тем временем в каталоге Chrome Web Store выявлено семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок. Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки ее открытия и заносили в локальный черный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности. Для распространения дополнений среди пользователей применялись методы социальной инженерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения.
После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял перехватывает параметры учетных записей в Facebook и Instagram, собирал конфиденциальные данные из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YouTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero).
Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала процесс удаления с систем пользователей.
