Преди няколко дни открит зловреден софтуер или злонамерен код в известното хранилище на дистрибуцията на Arch Linux, по-специално в архива на потребителя на Arch или AUR както е известно. И това не е нищо ново, вече сме виждали по други поводи как някои киберпрестъпници атакуват определени сървъри, където са хоствани дистрибуции на Linux и софтуерни пакети, за да ги модифицират с някакъв злонамерен код или задкулисни пътища и дори модифицират контролните суми, така че потребителите да не са наясно от тази атака и че те инсталират нещо несигурно на своите компютри.
Е, този път беше в хранилищата на AUR, така че този злонамерен код можеше да зарази някои потребители, които са използвали този мениджър на пакети в дистрибуцията си и съдържащи това злонамерен код. Пакетите трябва да бъдат проверени преди инсталацията, тъй като въпреки всички удобства, които AUR предоставя, се компилират и инсталират пакети лесно от неговия изходен код, това не означава, че трябва да се доверяваме на този изходен код. Следователно всички потребители трябва да вземат някои предпазни мерки, преди да инсталират, особено ако работим като системни администратори за критичен сървър или система ...
Всъщност самият уебсайт на AUR предупреждава, че съдържанието трябва да се използва на собствена отговорност на потребителя, който трябва да поеме рисковете. И откриването на този зловреден софтуер го доказва по този начин, в този случай acroread е модифициран на 7 юли, пакет, който е осиротел и няма поддръжка, е модифициран от потребител, наречен xeactor, който включва команда curl за автоматично изтегляне на код на скрипт от pastebin, който пуска друг скрипт на свой ред те генерираха инсталация на systemd единица, така че след това да стартират друг скрипт по-късно.
Изглежда, че два други пакета AUR са променени по същия начин за незаконни цели. В момента отговорните за репото са елиминирали променените пакети и са изтрили акаунта на потребителя, който го е направил, така че изглежда, че останалите пакети ще бъдат в безопасност за момента. Освен това, за спокойствие на засегнатите, включеният злонамерен код не направи нищо наистина сериозно на засегнатите машини, просто се опитваше (да, защото грешка в един от скриптовете предотврати по-голямо зло) да зареди определена информация от системата на жертвата.