MakuluLinux (6.4M Downloads) Ships Persistent Backdoor from Developer's Own C2
4 months ago
- #linux
- #security
- #backdoor
- MakuluLinux在其操作系统安装程序中包含一个持久后门,会连接到开发者控制的C2服务器。
- 该后门伪装成'系统健康检查',并与217.77.8.210:2006建立TCP连接。
- 开发者Jacque Montague Raymer运营着C2服务器及相关域名,证实了后门来源。
- 不安全操作包括未加密的HTTP更新、自动以sudo权限执行脚本以及缺乏代码签名验证。
- MakuluLinux充当其AI即服务平台的中转站,所有AI功能均通过开发者服务器代理。
- 后门可实现数据收集(包括地理位置和用户会话),且所有AI请求均被记录。
- 缓解措施包括终止后门进程、删除相关文件、阻断C2服务器连接以及禁用更新脚本。
- 建议采用'人类路由器'架构来防止非可信环境中的未授权操作。