AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Arch Linux elimina paquetes maliciosos de AUR que distribuían el troyano RAT CHAOS

admin

## Introducción

El equipo de seguridad de Arch Linux ha eliminado recientemente tres paquetes maliciosos del Arch User Repository (AUR), tras descubrirse que estaban siendo utilizados para implantar el troyano de acceso remoto (RAT) CHAOS en sistemas Linux. Este incidente pone de relieve los riesgos inherentes a los repositorios comunitarios y la importancia de fortalecer los procesos de revisión y la concienciación de los usuarios avanzados y administradores de sistemas.

## Contexto del Incidente

AUR es un repositorio gestionado por la comunidad, orientado a facilitar la distribución de paquetes que no forman parte de los repositorios oficiales de Arch Linux. Aunque su naturaleza abierta fomenta la innovación y la rápida disponibilidad de software, también lo convierte en un objetivo atractivo para actores maliciosos. En este caso, los paquetes identificados —`wireshark-gtk`, `libbpf`, y `systemd-manager`— fueron subidos al AUR entre el 16 y el 18 de mayo de 2024 y permanecieron accesibles durante varios días antes de su retirada.

El descubrimiento fue realizado por miembros de la comunidad y confirmado por los responsables de seguridad de Arch Linux, quienes señalaron la presencia de código malicioso diseñado específicamente para comprometer sistemas Linux mediante la instalación del RAT CHAOS.

## Detalles Técnicos

El análisis forense de los paquetes reveló la inclusión de scripts de postinstalación (`PKGBUILD`) que descargaban y ejecutaban archivos binarios desde servidores externos controlados por los atacantes. Estos binarios correspondían al troyano CHAOS, un malware modular conocido por sus capacidades de control remoto, exfiltración de datos, y potencial para desplegar cargas adicionales.

### CVE y vectores de ataque

Aunque no existe un CVE asignado a este ataque específico, la técnica empleada es consistente con el vector de «Supply Chain Compromise» (MITRE ATT&CK T1195). Los paquetes manipulados aprovechaban la confianza en la cadena de suministro software para ejecutar código arbitrario en máquinas de usuarios que compilaban e instalaban los paquetes desde el AUR.

### Tácticas, Técnicas y Procedimientos (TTP)

– **Initial Access (TA0001):** Compromiso de la cadena de suministro mediante la publicación de paquetes maliciosos en AUR.
– **Execution (TA0002):** Ejecución de scripts maliciosos durante la instalación.
– **Command and Control (TA0011):** Establecimiento de comunicación con servidores C2 utilizando canales cifrados.
– **Persistence (TA0003):** Creación de servicios persistentes para mantener el acceso tras reinicios.

### Indicadores de Compromiso (IoC)

– URLs de descarga: dominios no oficiales y direcciones IP asociadas con actividad maliciosa.
– Hashes de los binarios de CHAOS RAT (SHA256 disponibles en foros de la comunidad).
– Procesos inusuales relacionados con el binario descargado.
– Tráfico saliente a direcciones IP asociadas con C2 conocidos.

### Herramientas y Frameworks implicados

Se ha documentado el uso de utilidades de scripting nativas de Linux, así como la capacidad de los atacantes para integrar el binario de CHAOS en flujos de instalación estándar. La modularidad del troyano permite que, en fases posteriores, se integren herramientas como Cobalt Strike o Metasploit para movimientos laterales y explotación adicional.

## Impacto y Riesgos

Se estima que entre un 2% y un 5% de los usuarios activos de AUR podrían haber descargado los paquetes afectados, lo que representa potencialmente miles de sistemas comprometidos en todo el mundo. Los riesgos asociados incluyen:

– Pérdida de confidencialidad e integridad de la información.
– Acceso no autorizado a sistemas críticos.
– Exfiltración de credenciales y datos personales o empresariales.
– Uso de los sistemas comprometidos como pivote para ataques adicionales.

En el contexto europeo, un incidente de estas características puede suponer una violación del Reglamento General de Protección de Datos (GDPR) y de la Directiva NIS2, exponiendo a las organizaciones a sanciones regulatorias significativas.

## Medidas de Mitigación y Recomendaciones

– **Verificación de Paquetes:** Comprobar siempre la integridad y procedencia de los paquetes antes de la instalación, utilizando hashes y firmas digitales.
– **Auditoría de Scripts (`PKGBUILD`):** Revisar manualmente los scripts de instalación en busca de conexiones externas o ejecuciones no documentadas.
– **Restricciones de Privilegios:** Evitar la instalación de paquetes AUR como `root` y limitar los permisos de ejecución.
– **Monitorización de Red y Endpoints:** Buscar patrones anómalos de tráfico y procesos relacionados con los IoC identificados.
– **Actualización y Parches:** Eliminar inmediatamente los paquetes maliciosos y actualizar cualquier sistema potencialmente afectado.
– **Concienciación y Formación:** Instruir a los usuarios avanzados y administradores sobre los riesgos asociados al uso de repositorios comunitarios.

## Opinión de Expertos

Profesionales de ciberseguridad como Daniel Miessler y analistas de SANS Institute coinciden en que los repositorios comunitarios, si bien son un recurso valioso, constituyen un eslabón débil en la cadena de suministro software. Recomiendan extremar la vigilancia, implementar verificaciones automatizadas y adoptar mecanismos de firma obligatoria para cualquier contribución.

## Implicaciones para Empresas y Usuarios

Organizaciones que utilicen Arch Linux o permitan la instalación de paquetes AUR deben revisar inmediatamente sus sistemas para detectar posibles compromisos. La trazabilidad y la gestión de riesgos de la cadena de suministro software se posicionan como prioridades estratégicas, especialmente en sectores regulados y entornos críticos. La legislación europea refuerza la obligación de notificar incidentes y adoptar medidas proactivas para proteger los datos personales y operativos.

## Conclusiones

El incidente de los paquetes maliciosos en AUR subraya la importancia de una gestión rigurosa de la seguridad en la cadena de suministro software, incluso en entornos considerados de confianza por la comunidad técnica. La combinación de vigilancia proactiva, revisión manual y automatizada, y concienciación continua es clave para mitigar futuros riesgos y proteger los activos de información en la era de la colaboración abierta.

(Fuente: www.bleepingcomputer.com)