Reading Time: 2 minutes

A equipa de desenvolvimento da distribuição do Gentoo Linux notificou os utilizadores que o repositório de versionamento de codigo GitHub do SO foi comprometido pelos hackers e foi também implantado código malicioso.

Os developers da distribuição do Gentoo Linux anunciaram que os hackers comprometeram uma das contas do GitHub usadas pela organização e criaram um código malicioso.

“Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there.” Gentoo wrote on its website.

“We are still working to determine the exact extent and to regain control of the organization and its repositories. All Gentoo code hosted on GitHub should for the moment be considered compromised,” 

 

O developers do Gentoo, Francisco Blas Izquierdo Riera, confirmou que os atacantes assumiram o controlo sobre o repositório do Gentoo (Github) e substituíram as árvores portage e musl-dev por ebuilds maliciosos destinados a excluir todos os ficheiros de um sistema. O software mal-intencionado foi prontamente detetado e a equipa de desenvolvimento já o removeu.

“I just want to notify that an attacker has taken control of the Gentoo organization in Github and has among other things replaced the portage and musl-dev trees with malicious versions of the ebuilds intended to try removing all of your files.” explained  Francisco Blas Izquierdo Riera.

“Whilst the malicious code shouldn’t work as is and GitHub has now removed the organization, please don’t use any ebuild from the GitHub mirror ontained before 28/06/2018, 18:00 GMT  until new warning.”

 

O que é um ebuils?

“An ebuild file is a text file, used by Gentoo package managers, which identifies a specific software package and how the Gentoo package manager should handle it. It uses a bash-like syntax style and is standardized through the EAPI version.” reported Gentoo.

“Gentoo Linux uses ebuilds as the package management format for individual software titles. These ebuildscontain metadata about the software (the name and version of the software, which license the software uses, and the home page), dependency information (both build-time as well as run-time dependencies), and instructions on how to deal with the software (configure, build, install, test …).”

gentoo-linux-blue-1080p2

 

De acordo com o Gentoo, o código alojado em sua própria infraestrutura não foi afetado. Os mirrors do repositório do Gentoo estão alojados numa conta separada do GitHub que não foi afetada pela violação de segurança.

Os utilizadores do Gentoo foram prontamente informados para não utilizarem ebuilds da conta comprometida do GitHub antes das 18:00 GMT de 28 de junho de 2018.

Como parte do plano de resposta a incidentes, o GitHub suspendeu a conta invadida, no entanto os utilizadores poderão validar a integridade dos commits através da sua assinatura.

“All Gentoo commits are signed, and you should verify the integrity of the signatures when using git,” Gentoo said.

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.