4月24日晚,一名网友发现OneinStack官网下载的安装包被植入了木马,安装包中的/include/openssl.sh文件第137行被插入了木马,主要表现为安装时会从仿冒的官网域名WGET下载一张包含压缩有木马程序的图片,在下载后将会解压执行linux@QWE后门文件,最终取得系统控制权。
具体issues地址:https://github.com/oneinstack/oneinstack/issues/487
截止5月3日,作者已经修复并清理了植入的木马。
挂马位置:oneinstack/include/openssl.sh 137 行cnoneinstack.com为非官方域名
挂马文件MD5值:oneinstack-full.tar.gz md5 | fc897d5abba2dbff00fb6b88da878ba8
影响范围:2023-04-24(实际未知) ~ 2023-05-03 且系统为RedHat/CentOS系列
该仿冒域名注册于2023-02-28,不排除官方安装包早在2月份就已遭投毒。
深信服安全实验室报告:https://www.secpulse.com/archives/200488.html
