Node.js套件管理器Npm才被發現有惡意後門套件,現在又有使用者在Ubuntu Snap商店發現,在上面特定作者發布的應用程式含有挖礦程式,Canonical表示,他們在收到從GitHub上的通報後,已經移除了該作者的所有應用程式。

這個挖礦惡意程式最先被GitHub用戶Tarwirdur,從一款名為「2048buntu」的遊戲中發現,他好奇為什麼這款應用程式要增加一個系統啟動腳本,結果經過研究,發現這是一個加密貨幣採礦惡意程式。Tarwirdur還搜尋了相同作者上傳的其他應用程式,而同樣的也在這些軟體上發現相同的挖礦腳本,且連結到相同的E-mail信箱。這個挖礦程式偽裝成名為Systemd的守護行程,當用戶同意它在系統啟動時啟用,該挖礦程式便會自動載入,並在後臺默默開採加密貨幣。

Canonical表示,他們在周末收到用戶於GitHub通報後,已經將該作者的2個應用程式移除,現在正進行進一步的調查。但也因為Ubuntu Snap商店沒有顯示應用程式下載計數,因此也不清楚究竟有多少用戶受到影響,但是可以知道的訊息是,這些應用程式在4月底被上傳到商店中。

這個事件在官方GitHubSnapcraft討論區以及網路論壇Reddit上都引起用戶熱烈討論,不少用戶質疑在官方平臺,竟然也會下載到惡意程式。這兩款應用程式都是以自有軟體上傳,因此一般使用者無法檢視其程式碼,而要在Snap商店上架,需要先使用Canonical的Snappy打包工具,該工具不會掃描應用程式原始碼,所以也無法發現軟體不正常的行為。

執得注意的是,這個挖礦程式並沒有使用任何Snap的漏洞,因此以目前Ubuntu Snap商店運作的架構來說,是無法發現應用程式夾帶惡意程式的情況。

而也有網友提到,在「2048buntu」遊戲中夾帶挖礦程式,是因為沒有在軟體說明中提到挖礦功能,而在未經授權的狀況下使用用戶的電腦資源,所以挖礦程式被當作惡意程式,但是挖礦程式本身並不對系統本身有惡意行為,不如一般惡意程式會收集用戶敏感資料、注入後門程式或是劫持瀏覽器等行為。因此也有網友認為,這個挖礦程式缺乏像是編碼E-mail信箱地址,充分掩飾自己是惡意軟體的基本動作,有可能是要引起關注Snap打包服務Snapcraft存在這樣的漏洞。

雖然應用程式夾帶惡意程式碼雖然首度在Ubuntu Snap商店發生,然而之前Node.js套件管理器Npm被發現有惡意後門套件時,就有部分開發者認為這並非Npm特有的情況,現在再次驗證官方套件下載平臺的內容,並非總是安全的,使用者還是需要確認應用程式來源再安裝,才能降低受駭風險。


Advertisement

更多 iThome相關內容