منذ بضعة أيام اكتشاف البرمجيات الخبيثة أو تعليمات برمجية ضارة في المستودع الشهير لتوزيعة Arch Linux ، وتحديدًا في مستودع مستخدم Arch أو AUR كما هو معروف. وهذا ليس بالأمر الجديد ، فقد رأينا بالفعل في مناسبات أخرى كيف هاجم بعض مجرمي الإنترنت خوادم معينة حيث تمت استضافة توزيعات Linux وحزم البرامج لتعديلها ببعض الأكواد الخبيثة أو الأبواب الخلفية وحتى تعديل المجاميع الاختبارية حتى لا يكون المستخدمون على علم بهذا الهجوم وأنهم قاموا بتثبيت شيء غير آمن على أجهزة الكمبيوتر الخاصة بهم.
حسنًا ، كانت هذه المرة في مستودعات AUR ، لذلك كان من الممكن أن يتسبب هذا الرمز الضار في إصابة بعض المستخدمين الذين استخدموا مدير الحزم هذا في توزيعاتهم والتي تضمنت ذلك رمز الخبيثة. يجب التحقق من الحزم قبل التثبيت ، لأنه على الرغم من جميع التسهيلات التي توفرها AUR للترجمة والتثبيت الحزم بسهولة من شفرة المصدر الخاصة به ، فهذا لا يعني أنه يتعين علينا الوثوق في شفرة المصدر هذه. لذلك ، يجب على جميع المستخدمين اتخاذ بعض الاحتياطات قبل التثبيت ، خاصةً إذا كنا نعمل كمسؤولين عن النظام لخادم أو نظام مهم ...
في الواقع ، يحذر موقع AUR نفسه من أنه يجب استخدام المحتوى تحت مسؤولية المستخدم الخاصة ، والذي يجب أن يتحمل المخاطر. واكتشاف هذه البرمجيات الخبيثة يثبت ذلك ، في هذه الحالة أكرريد تم تعديله في 7 تموز (يوليو) ، وهي الحزمة التي تم عزلها ولم يكن لديها مشرف تم تعديلها من قبل مستخدم يسمى xeactor والذي تضمن أمر curl لتنزيل رمز البرنامج النصي تلقائيًا من pastebin ، والذي أطلق برنامج نصي آخر قام بدوره بإنشاء تثبيت وحدة systemd بحيث يمكنهم تشغيل برنامج نصي آخر لاحقًا.
ويبدو أن حزمتين أخريين من AUR قد تم تغييرهما بنفس الطريقة لأغراض غير مشروعة. في الوقت الحالي ، قام المسؤولون عن الريبو بحذف الحزم المعدلة وحذفوا حساب المستخدم الذي فعل ذلك ، لذلك يبدو أن بقية الحزم ستكون آمنة في الوقت الحالي. بالإضافة إلى هدوء المتضررين، لم تفعل الشفرة الخبيثة المضمنة شيئًا خطيرًا حقًا على الأجهزة المتأثرة ، فقط حاولت (نعم ، لأن خطأ في أحد البرامج النصية منع شرًا أكبر) لتحميل معلومات معينة من نظام الضحية.