ClickCease Free Download Manager Linux Users Alert : Attaque de la chaîne d'approvisionnement

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Free Download Manager Linux Users Alert : Attaque de la chaîne d'approvisionnement

par Rohan Timalsina

28 septembre 2023 - L'équipe d'experts de TuxCare

Securelist a fait une révélation inquiétante pour les utilisateurs de Linux, en dévoilant qu'un paquet Debian associé au très répandu "Free Download Manager" contient des logiciels malveillants, ce qui représente un risque de sécurité important pour les utilisateurs peu méfiants.

Les données télémétriques de Securelist montrent également qu'au cours du seul premier semestre 2023, 260 000 instances Linux distinctes ont été liées à des logiciels malveillants et à d'autres activités malveillantes.

 

Le gestionnaire de téléchargement gratuit du référentiel Debian infecté

Le problème se situe au niveau d'un dépôt Debian lié au domaine deb.fdmpkg[.]org. En visitant ce domaine web, les utilisateurs tombent sur une page web d'apparence inoffensive qui cache des intentions malveillantes. Ce sous-domaine prétend héberger un dépôt Debian pour le "Free Download Manager", un logiciel réputé utilisé par de nombreuses personnes.

En y regardant de plus près, notre équipe d'enquêteurs a découvert un paquet Debian pour le "Free Download Manager" disponible au téléchargement via le site web https://deb.fdmpkg[.]org/freedownloadmanager.deb URL. Ce paquet dissimule un script "postinst" compromis qui s'exécute pendant l'installation. Ce script dépose subrepticement deux fichiers ELF dans le répertoire /var/tmp/crond et /var/tmp/bs en établissant une persistance par le biais d'une tâche cron stockée dans le répertoire /etc/cron.d/collect. Cette tâche déclenche la /var/tmp/crond toutes les 10 minutes.

Il est essentiel de noter que le paquet infecté remonte au 24 janvier 2020. Le script "postinst" contient des commentaires en russe et en ukrainien, qui donnent un aperçu de l'évolution du logiciel malveillant et des motivations des attaquants.

 

Script de vol de Bash

Lors de l'installation, le paquet introduit un fichier exécutable, /var/tmp/crond, en tant que backdoor. Notamment, cet exécutable fonctionne indépendamment des bibliothèques externes, mais fait appel à la bibliothèque dietlibc liée statiquement pour accéder à l'API Linux.

Lors de l'initialisation, la porte dérobée lance une requête DNS pour une chaîne de 20 octets codée en hexadécimal à l'adresse suivante <hex-encoded 20-byte string>.u.fdmpkg[.]org. Cette demande permet d'obtenir deux adresses IP, révélant l'adresse et le port d'un serveur secondaire de commande et de contrôle (C2). Ce protocole de communication malveillant peut utiliser soit SSL, soit TCP, en fonction du type de connexion. Si SSL est utilisé, /var/tmp/bs est activé pour les communications ultérieures ; dans le cas contraire, la porte dérobée crond génère elle-même un shell inversé.

En approfondissant les tactiques de l'attaquant, notre équipe a découvert que la porte dérobée crond génère un shell inversé. Cet infiltrateur furtif recueille toute une série de données sensibles, notamment les informations système, l'historique de navigation, les mots de passe stockés, les fichiers de portefeuilles de crypto-monnaies et les informations d'identification des services cloud tels que AWS, Google Cloud, Oracle Cloud Infrastructure et Azure.

Ensuite, l'infiltrateur télécharge un binaire uploader à partir du serveur C2 et le stocke dans le fichier /var/tmp/atd. Ce binaire est ensuite utilisé pour transmettre les données volées à l'infrastructure des attaquants, concluant ainsi leur opération malveillante.

 

Conclusion

Fait remarquable, le site officiel n'héberge pas le logiciel malveillant ; au lieu de cela, certains utilisateurs de Linux sont redirigés vers le fichier deb compromis. Quelques rapports sur Reddit et StackOverflow ont fait surface, avec des utilisateurs notant un comportement suspect de Free Download Manager entre 2020 et 2022.

Nous vous conseillons vivement de désinstaller immédiatement le paquet Debian "Free Download Manager" s'il est actuellement installé sur votre système. Les développeurs du FDM ont également publié un script pour détecter les infections potentielles sur les appareils Linux à la suite de cette attaque signalée de la chaîne d'approvisionnement.

 

Les sources de cet article comprennent un article de DebugPointNews.

Résumé
Free Download Manager Linux Users Alert : Attaque de la chaîne d'approvisionnement
Nom de l'article
Free Download Manager Linux Users Alert : Attaque de la chaîne d'approvisionnement
Description
Découvrez l'attaque de la chaîne d'approvisionnement du Free Download Manager ciblant les utilisateurs de Linux avec le paquet Debian malveillant contenant le voleur de bash.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !