Những người duy trì Trình quản lý tải xuống miễn phí (FDM) đã thừa nhận một sự cố bảo mật xảy ra từ năm 2020 dẫn đến việc trang web của họ bị sử dụng để phân phối phần mềm Linux độc hại.
“Có vẻ như một trang web cụ thể trên trang web của chúng tôi đã bị một nhóm hacker Ukraine xâm nhập, khai thác nó để phân phối phần mềm độc hại”, nó cho biết trong một cảnh báo vào tuần trước. “Chỉ một nhóm nhỏ người dùng, đặc biệt là những người đã cố tải xuống FDM cho Linux trong khoảng thời gian từ năm 2020 đến năm 2022, mới có khả năng bị lộ.”
Ước tính có ít hơn 0,1% khách truy cập đã gặp phải sự cố này, thêm vào đó có thể đó là lý do khiến sự cố không được phát hiện cho đến tận bây giờ.
Tiết lộ này được đưa ra khi Kaspersky tiết lộ rằng trang web của dự án đã bị xâm nhập vào một thời điểm nào đó trong năm 2020 để chuyển hướng những người dùng Linux chọn lọc đã cố tải phần mềm xuống một trang web độc hại lưu trữ gói Debian.
Gói này còn được định cấu hình thêm để triển khai cửa sau dựa trên DNS và cuối cùng phục vụ phần mềm độc hại đánh cắp Bash có khả năng thu thập dữ liệu nhạy cảm từ các hệ thống bị xâm nhập.
FDM cho biết cuộc điều tra của họ đã phát hiện ra một lỗ hổng trong một tập lệnh trên trang web của họ mà tin tặc đã khai thác để giả mạo trang tải xuống và dẫn khách truy cập trang web đến miền giả mạo deb.fdmpkg[.]org lưu trữ tệp .deb độc hại.
FDM cho biết: “Nó có một «danh sách ngoại lệ» các địa chỉ IP từ nhiều mạng con khác nhau, bao gồm cả những mạng liên kết với Bing và Google”. "Khách truy cập từ các địa chỉ IP này luôn được cung cấp liên kết tải xuống chính xác."
Nó còn lưu ý thêm: “Thật thú vị, lỗ hổng này đã vô tình được giải quyết trong quá trình cập nhật trang web định kỳ vào năm 2022”.
FDM cũng đã phát hành tập lệnh shell để người dùng kiểm tra sự hiện diện của phần mềm độc hại trong hệ thống của họ. Nó có thể được tải xuống từ đây .
Nhưng điều đáng lưu ý là tập lệnh quét không loại bỏ phần mềm độc hại. Người dùng tìm thấy cửa sau và kẻ đánh cắp thông tin trong máy của họ phải cài đặt lại hệ thống.