Fa uns dies s'ha detectat malware o codi maliciós en el famós repositori de la distro Arch Linux, concretament en Arch User Repository o AUR com se'l coneix. I no és res de nou, ja hem vist en altres ocasions com alguns ciberdelinqüents atacaven a certs servidors on s'allotjaven distribucions Linux i paquets de programari per a modificar-los amb algun codi maliciós o backdoors i fins i tot modificaven les sumes de verificació perquè els usuaris no fossin conscients d'aquest atac i que estaven instal·lant una mica insegur en els seus equips.
Doncs bé, aquesta vegada ha estat en els repositoris AUR, així que aquest codi maliciós podria haver infectat a alguns usuaris que han fet servir aquest gestor de paquets en la seva distro i que contenia aquest codi maliciós. Els paquets s'haurien d'haver verificat abans de la instal·lació, ja que malgrat totes les facilitats que aporta AUR per instal·lar paquets fàcilment des del seu codi font, no vol dir que ens haguem de fiar d'aquest codi font. Per això, tots els usuaris haurien de prendre algunes precaucions abans d'instal·lar, especialment si estem treballant com sysadmins d'algun servidor o sistema crític ...
De fet, la pripia pàgina web de AUR alerta que el contingut s'ha d'utilitzar sota la pròpia responsabilitat de l'usuari, que ha d'assumir els riscos. I el descobriment d'aquest malware ho demostra així, en aquest cas acroread es va modificar el 7 de juliol, un paquet que era orfe i no tenia mantenidor va passar a ser modificat per un usuari anomenat xeactor que va incloure una ordre curl per descarregar un codi d'un script automàticament des d'un pastebin, això llançava una altra seqüència de comandes que a seu torn generaven una instal·lació d'una unitat de systemd perquè després executessin una altra script posteriorment.
I sembla que dos paquets de AUR han estat modificats de la mateixa manera per a fins il·lícits. De moment, els responsables de l'repo s'han eliminat els paquets alterats i han eliminat el compte de l'usuari que ho va fer, de manera que sembla que la resta de paquets estaran fora de perill de moment. A més, per tranquil·litat dels afectats, El codi maliciós inclòs no va fer res realment greu a les màquines afectades, només intentar (si, perquè un error en un dels scripts van evitar un mal major) carregar certa informació de l'ssitema de la víctima.