据卡巴斯基披露，一款Linux应用Free Download Manager被秘密植入了后门。该软件下载网站 freedownloadmanager.org会将用户重定向到一个恶意的Debian软件包库。卡巴斯基在调查可疑域名时发现了这起持续三年多的供应链攻击案例。

Free Download Manager软件官方针对此事发布了一则安全公告：自2020年以来，其网站上的特定网页似乎被乌克兰黑客组织破坏，并被用于分发恶意软件。

据了解，该恶意软件包安装后，通过每10分钟启动一次/var/tmp/crond文件来建立持久性。该后门会创建一个反向shell连接到一个C2服务器，并安装一个Bash窃取器，用于收集系统信息、浏览历史、存储的密码、加密货币钱包文件以及云服务（AWS、Google Cloud、Oracle Cloud Infrastructure、Azure）的凭据。

卡巴斯基表示，官方下载页面 “freedownloadmanager.org”有时会将下载软件的用户重定向到一个恶意域名“deb.fdmpkg.org”（该域名托管了一个恶意的Debian软件包）。这种重定向只在某些情况下发生，卡巴斯基猜测该脚本根据特定但未知的标准针对部分用户进行恶意活动。在过去三年间，也曾有用户对软件的可疑文件进行过讨论，但都没有意识到他们被恶意软件感染。

前文提及的crond后门是自2013年以来流传的“Bew”后门的一个变种，而Bash窃取器则是于2019年首次被发现及分析。另外，该恶意活动的受害者遍布全球各地，包括巴西、中国、沙特阿拉伯和俄罗斯。既然如此，为何却长时间都没被发现呢？

卡巴斯基认为这是由以下几个因素造成的：

与Windows相比，Linux恶意软件很少被观察到；

感染恶意Debian软件包的概率不确定：少数用户下载了被感染的软件包，而其他人下载的则是正常软件包；

讨论Free Download Manager问题的用户并未怀疑这些问题是由恶意软件引起的。

Free Download Manager官方表示，如果用户在2020年至2022年之间下载并安装了Free Download Manager的Linux版本，强烈建议立即对系统进行恶意软件扫描并更换密码。

编辑：左右里

资讯来源：Kaspersky、Free Download Manager官网

转载请注明出处和本文链接