Les développeurs de Free Download Manager (FDM) ont publié un script pour vérifier si un appareil Linux a été infecté par une attaque de chaîne d’approvisionnement récemment signalée.
Free Download Manager est un gestionnaire de téléchargement multiplateforme populaire qui propose des téléchargements de torrents, de proxy et de vidéos en ligne via une interface conviviale.
La semaine dernière, Kaspersky a révélé que le site Web du projet avait été compromis à un moment donné en 2020, redirigeant une partie des utilisateurs Linux qui tentaient de télécharger le logiciel vers un site malveillant.
Ce site a abandonné un programme d’installation FDM sous forme de cheval de Troie pour Linux qui installait un voleur d’informations Bash et une porte dérobée qui établissait un shell inversé à partir du serveur de l’attaquant.
Même si de nombreux utilisateurs ont signalé un comportement particulier après l’installation du programme d’installation malveillant, l’infection est restée indétectée pendant trois ans jusqu’à la publication du rapport de Kaspersky.
Réponse du gestionnaire de téléchargement gratuit
L’affaire ayant attiré l’attention, FDM a enquêté et a découvert que les rapports de Kaspersky et d’autres sur la compromission de leur site avaient été ignorés en raison d’une erreur dans leur système de contact.
« Il semble qu’une page Web spécifique de notre site ait été compromise par un groupe de pirates informatiques ukrainiens, l’exploitant pour distribuer des logiciels malveillants », explique l’annonce de sécurité sur le site de FDM.
« Seul un petit sous-ensemble d’utilisateurs, en particulier ceux qui ont tenté de télécharger FDM pour Linux entre 2020 et 2022, ont été potentiellement exposés. »
« Curieusement, cette vulnérabilité a été résolue sans le savoir lors d’une mise à jour de routine du site en 2022. »
Les développeurs affirment que le site a été piraté en raison d’une vulnérabilité du site Web, permettant aux attaquants d’introduire un code malveillant modifiant la page de téléchargement pour un petit pourcentage de visiteurs.
Aujourd’hui, FDM a publié un script qui analysera les ordinateurs Linux pour vérifier s’ils ont été infectés par le malware voleur d’informations de cette campagne.
Le script est disponible ici, et son exécution se fait en deux étapes à partir d’un terminal :
chmod +x linux_malware_check.sh
./linux_malware_check.sh
Les utilisateurs doivent noter que le script du scanner identifiera uniquement si le logiciel malveillant est installé en recherchant la présence de certains fichiers sur le système, mais il ne les supprimera pas.
Par conséquent, si le scanner trouve quelque chose, les utilisateurs doivent supprimer manuellement le logiciel malveillant ou utiliser des outils de sécurité supplémentaires pour localiser et déraciner les fichiers malveillants.
L’action recommandée par FDM est de réinstaller le système.