Vor ein paar Tagen Malware entdeckt oder bösartiger Code im berühmten Repository der Arch Linux-Distribution, insbesondere im Arch User Repository oder AUR wie es bekannt ist. Und es ist nichts Neues. Wir haben bereits bei anderen Gelegenheiten gesehen, wie einige Cyberkriminelle bestimmte Server angegriffen haben, auf denen Linux-Distributionen und -Softwarepakete gehostet wurden, um sie mit bösartigem Code oder Hintertüren zu ändern, und sogar die Prüfsummen so geändert haben, dass Benutzer diesen Angriff nicht bemerkten und dass sie etwas Unsicheres auf ihren Computern installierten.
Nun, diesmal war es in den AUR-Repositories, also könnte dieser Schadcode einige Benutzer infiziert haben, die diesen Paketmanager in ihrer Distribution verwendet haben und die das enthielten bösartiger Code. Die Pakete sollten vor der Installation überprüft worden sein, da AUR trotz aller Möglichkeiten zum Kompilieren und Installieren bereitstellt Pakete Ausgehend vom Quellcode bedeutet dies nicht, dass wir diesem Quellcode vertrauen müssen. Daher sollten alle Benutzer vor der Installation einige Vorsichtsmaßnahmen treffen, insbesondere wenn wir als Systemadministratoren für einen kritischen Server oder ein kritisches System arbeiten ...
Tatsächlich warnt die AUR-Website selbst, dass der Inhalt auf eigene Verantwortung des Benutzers verwendet werden muss, der die Risiken übernehmen muss. Und die Entdeckung dieser Malware beweist dies in diesem Fall acroread wurde am 7. Juli geändert, ein Paket, das verwaist war und keinen Betreuer hatte, wurde zufällig von einem Benutzer namens xeactor geändert, der einen Curl-Befehl zum automatischen Herunterladen eines Skriptcodes aus einem Pastebin enthielt, der ein anderes Skript startete, um wiederum ein zu generieren Installation einer systemd-Einheit, damit sie später ein anderes Skript ausführen kann.
Und es scheint, dass zwei andere AUR-Pakete für illegale Zwecke auf die gleiche Weise geändert wurden. Im Moment haben die Verantwortlichen für das Repo die geänderten Pakete entfernt und das Konto des Benutzers gelöscht, der es getan hat. Es scheint also, dass der Rest der Pakete für den Moment sicher ist. Darüber hinaus für Ruhe der BetroffenenDer enthaltene Schadcode hat auf den betroffenen Computern nichts wirklich Ernstes bewirkt. Versuchen Sie einfach (ja, weil ein Fehler in einem der Skripte ein größeres Übel verhindert hat), bestimmte Informationen aus dem System des Opfers zu laden.