Free Download Manager Linux Users Alert : Attaque de la chaîne d'approvisionnement
Securelist a fait une révélation inquiétante pour les utilisateurs de Linux, en dévoilant qu'un paquet Debian associé au très répandu "Free Download Manager" contient des logiciels malveillants, ce qui représente un risque de sécurité important pour les utilisateurs peu méfiants.
Les données télémétriques de Securelist montrent également qu'au cours du seul premier semestre 2023, 260 000 instances Linux distinctes ont été liées à des logiciels malveillants et à d'autres activités malveillantes.
Le gestionnaire de téléchargement gratuit du référentiel Debian infecté
Le problème se situe au niveau d'un dépôt Debian lié au domaine deb.fdmpkg[.]org
. En visitant ce domaine web, les utilisateurs tombent sur une page web d'apparence inoffensive qui cache des intentions malveillantes. Ce sous-domaine prétend héberger un dépôt Debian pour le "Free Download Manager", un logiciel réputé utilisé par de nombreuses personnes.
En y regardant de plus près, notre équipe d'enquêteurs a découvert un paquet Debian pour le "Free Download Manager" disponible au téléchargement via le site web https://deb.fdmpkg[.]org/freedownloadmanager.deb
URL. Ce paquet dissimule un script "postinst" compromis qui s'exécute pendant l'installation. Ce script dépose subrepticement deux fichiers ELF dans le répertoire /var/tmp/crond
et /var/tmp/bs
en établissant une persistance par le biais d'une tâche cron stockée dans le répertoire /etc/cron.d/collect
. Cette tâche déclenche la /var/tmp/crond
toutes les 10 minutes.
Il est essentiel de noter que le paquet infecté remonte au 24 janvier 2020. Le script "postinst" contient des commentaires en russe et en ukrainien, qui donnent un aperçu de l'évolution du logiciel malveillant et des motivations des attaquants.
Script de vol de Bash
Lors de l'installation, le paquet introduit un fichier exécutable, /var/tmp/crond
, en tant que backdoor. Notamment, cet exécutable fonctionne indépendamment des bibliothèques externes, mais fait appel à la bibliothèque dietlibc liée statiquement pour accéder à l'API Linux.
Lors de l'initialisation, la porte dérobée lance une requête DNS pour une chaîne de 20 octets codée en hexadécimal à l'adresse suivante <hex-encoded 20-byte string>.u.fdmpkg[.]org
. Cette demande permet d'obtenir deux adresses IP, révélant l'adresse et le port d'un serveur secondaire de commande et de contrôle (C2). Ce protocole de communication malveillant peut utiliser soit SSL, soit TCP, en fonction du type de connexion. Si SSL est utilisé, /var/tmp/bs
est activé pour les communications ultérieures ; dans le cas contraire, la porte dérobée crond génère elle-même un shell inversé.
En approfondissant les tactiques de l'attaquant, notre équipe a découvert que la porte dérobée crond génère un shell inversé. Cet infiltrateur furtif recueille toute une série de données sensibles, notamment les informations système, l'historique de navigation, les mots de passe stockés, les fichiers de portefeuilles de crypto-monnaies et les informations d'identification des services cloud tels que AWS, Google Cloud, Oracle Cloud Infrastructure et Azure.
Ensuite, l'infiltrateur télécharge un binaire uploader à partir du serveur C2 et le stocke dans le fichier /var/tmp/atd
. Ce binaire est ensuite utilisé pour transmettre les données volées à l'infrastructure des attaquants, concluant ainsi leur opération malveillante.
Conclusion
Fait remarquable, le site officiel n'héberge pas le logiciel malveillant ; au lieu de cela, certains utilisateurs de Linux sont redirigés vers le fichier deb compromis. Quelques rapports sur Reddit et StackOverflow ont fait surface, avec des utilisateurs notant un comportement suspect de Free Download Manager entre 2020 et 2022.
Nous vous conseillons vivement de désinstaller immédiatement le paquet Debian "Free Download Manager" s'il est actuellement installé sur votre système. Les développeurs du FDM ont également publié un script pour détecter les infections potentielles sur les appareils Linux à la suite de cette attaque signalée de la chaîne d'approvisionnement.
Les sources de cet article comprennent un article de DebugPointNews.