Компания ESET сообщила (https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../) о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющем майнинг криптовалюты.Первые вредоносные изменения были добавлены в репозитории ещё в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств (https://torrentfreak.com/kodi-addon-repo-operator-shuts-down.../), касающихся нарушения авторских прав.
Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавления проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.
Данное дополнение включало запутанный блок кода, который анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при установке дополнений и использовании сторонних сборок.
Примечательно, что это вторая крупная атаки через дополнения к
Kodi - первая атака была замечена (https://torrentfreak.com/popular-kodi-addon-exodus-turned-us.../) в начале 2017 года, распространялась через популярное дополнение Exodus и специализировалась на построении ботнета для проведения DDoS-атак.
URL: https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launc.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49272
> Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.
>> Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.
> Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.Кибердружинник? Сам-то чьих будешь, под прокурорскими или следаками ходишь?
Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.
Медиа и игры с "белых" сервисов цифорвой дистрибуции. Это не настолько большие финансовые траты в обмен на вменяемое качество и достаточную безопасность от подобных проблем.А те кто спит и видит где бы урвать "забесплатно без смс и регистрации", любители торрентов, кряков, онлайн-фильмов с одноголосым переводом и рекламой казинов - целевая аудитория под описанный в статье сценарий заражения. Сегодня майнеры, завтра трояны и шифровальщики.
> Линуксоид, пользуюсь преимущественно СПО.Я бы усомнился. Запустить что-то крякнутое под вайном - по моему совершено обычная вещь для многих. При чём с чувством защищенности.
Согласен, встречается. Но выбор все же за нами мараться ли в этом болоте. Вот виндовый софт мне совсем не требуется, а игры есть в Steam/GOG. В вайне или нативно, но из официальных источников.Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.
А те что от рождения гумно, или продается по непомерно большим деньгам - должно быть похоронено самим рынком, а не популяризоваться пиратами, до кучи впиливающими туда трояны
> Согласен, встречается. Но выбор все же за нами мараться ли в этом болотеНу это не относится к "Линуксоид, пользуюсь преимущественно СПО"
рекомендую к ознакомлению https://www.linux.org.ru/polls/polls/11681516
>Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.Еретик прямо. Ведь скопировать же не украсть?
> Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью
> покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.
> Медиа и игры с "белых" сервисов цифорвой дистрибуции. Это
> не настолько большие финансовые траты в обмен на вменяемое качество и
> достаточную безопасность от подобных проблем.И дата-майнинг со стороны посредников, ага.
В общем, классические два стула.
> XvBMCЧто за зверь?
> Kodi
Правильный вектор атаки! Там же аппаратные декодеры h264 и h265. Значит есть видеокарта с поддержкой OpenCL. Это лучше, чем атаковать Raspberry Pi
Наоборот, он стоит на обычных компах, Raspberry Pi и телевизорах. Вообщем обычные бытовые проигрыватели. Там начинка минимальная.
Удивительно сколько телевизоры нагрели на 6800.Вообще какой-то паразитизм. Электроэнергию жгут одни, а деньги зарабатывают другие, ценность вообще создают всему этому какие-то дyраки левые.
> Удивительно сколько телевизоры нагрели на 6800.Да, на 4774 пользователей получется 1,5 бакса всего лишь.
А идея интересная. Как отреагируют apt и yum, если через какой-нибудь левый PPA или EPEL допустим прислать обновление glibc, заверенное подписью подключенного левого репозитория?
Никак, умные люди не добавляют сторонние apt и yum репозитории.
ну и сиди без nginx, умничка
ты такой смешной.У тебя свежий nginx? А можно я туда мой майнер еще поставить, раз ты не против?
> ну и сиди без nginx, умничкаТак умничка же, а не клиент шараги, радостно кидающей клиентов под предлогом ссанкций.
Да ладно. А как жить тогда?
> Да ладно. А как жить тогда?На нормальном дистрибутиве/репозитории, например. На localhost вон хватает
rpm file:/var/ftp/pub/Linux/ALT/Sisyphus x86_64 classic
rpm file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
rpm file:/var/ftp/pub/Linux/ALT/Sisyphus x86_64-i586 classic
rpm-dir file:/tmp/.private/mike/hasher/repo x86_64 hasher
Спасибо конечно, но я лучше останусь на "протухшем" дебиане. Последний раз пользовался альтом году эдак в 2002 :)
Михаил исправьте пожалуйста в alt-p8-xfce (и будущие сборки) отображение разделов в файловом менеджере.(Пишут в обсуждениях, что нужно установить тулкит или утилиту, но она установлена, а под root не получается войти.)
В новости указано что устанавливать что-то из репы не нужно было. Уязвимость в первую очередь в самом Kodi, который при добавлении репы устанавливает какую-то левую херню.
> о выявлении вредоносного кода в репозиториях дополненийНу и причём тут "атака на пользователей бла-бла-бла"? Гораздо логичнее было бы рассмотреть как заразили сами репы. Короче - очередной жёлтый заголовок. Пора вводить ответственность на распространителей информации за её неверную подачу.
За бесплатно переводы новостей читаешь, еще и гавкаешь?
> За бесплатно переводы новостей читаешь, еще и гавкаешь?Причём здесь переводы и те, кто просто переводит? Какой, вообще, спрос с транслятора? Я говорю про источники информации.
Суть новости не во взломе репозитория, а в том, что просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда.
> просто подключив репозиторий и ничего из него не ставя можно заполучить зловредаЭто как, если в розетку подадут 380 вместо 220. Основная проблема - взлом самой репы, а не Коди.
Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и девочек. А вообще предлагаю все это дело легализовать и заключать публичный договор, что мол так и так в софт встроен майнер, который будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут довольны!
> Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для
> бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и
> девочек. А вообще предлагаю все это дело легализовать и заключать публичный
> договор, что мол так и так в софт встроен майнер, который
> будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают
> свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут
> довольны!Михалкову не забудь отстегнуть и в отделении по месту прописки зарегистрироваться.
А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
> А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
>ХакерствоНомер статьи скажи? В которой используется именно _это_ _слово_.
Заодно поищи статью за притворивши лояром, наверное, где-то рядом.........
в EULA можно писать всё что угодно, пользователь согласился? значит ссзб
> в EULA можно писать всё что угодно,Можно. Желательно сразу на туалетной бумаге.
> пользователь согласился? значит ссзбХватит повторять эти байки. При расхождении с законодательством пункты ЕУЛА (пока еще) считаются недействительными.
Много намайнят с отключеной сетью? Майнеры мамкины...
ага, я тоже попкорном только оффлайн пользуюсь
> Много намайнят с отключеной сетью?...Майнер распространялся через репозитории для доступа к защищенному контенту и платному IPTV.
И много вы насмотрите IPTV с отключённой сетью?
Распространился - и че дальше? Много намайнит в оффлайне?)
Ребят, простите что не по теме, но никто не в курсе как запустить Dolphin 18.08 в KDE из под root? Вроде бы писали что вернули эту возможность , но sudo dolphin не работает( Заранее благодарю!
В kde-шном меню есть "диспетчер файлов (в режиме администратора)"
Если ты в генту, то можно просто отредактировать майн
1)
ebuild /usr/portage/kde-apps/dolphin/dolphin-18.04.3-r1.ebuild unpack prepare
2) лезешь в папку где у тебя portage_temp/work/src/main.cpp
3) и ищи там начало мейна (там блок кода который и вырубает дельфин удали его)
4)
ebuild /usr/portage/kde-apps/dolphin/dolphin-18.04.3-r1.ebuild compile install qmerge
попробуй su -
dolphinkrusader уже идет в комплекте, работает под рутом и гораздо удобнее для системного доступа.
Еще можно патч сделать и бросить в /etc/portage/patch