Muutama päivä sitten haittaohjelma havaittu tai haitallinen koodi Arch Linux - distron kuuluisassa arkistossa, erityisesti Arch User Repository - tai AUR kuten tiedetään. Ja se ei ole mikään uusi, olemme jo nähneet muissa tilanteissa, kuinka jotkut verkkorikolliset hyökkäsivät tiettyihin palvelimiin, joissa isännöitiin Linux-jakeluja ja ohjelmistopaketteja muuttaakseen niitä haitallisilla koodeilla tai takaovilla ja jopa muokkaamalla tarkistussummia siten, että käyttäjät eivät olleet tietoisia hyökkäyksestä ja että he asentivat jotain epävarmaa tietokoneilleen.
No, tällä kertaa se oli AUR-arkistoissa, joten tämä haitallinen koodi olisi voinut saada tartunnan joillekin käyttäjille, jotka ovat käyttäneet tätä paketinhallintaa levityksessään ja joka sisälsi sen haittakoodi. Paketit olisi pitänyt tarkistaa ennen asennusta, koska huolimatta kaikista palveluista, jotka AUR tarjoaa kääntämiseen ja asentamiseen paketit helposti lähdekoodistaan, se ei tarkoita, että meidän on luotettava siihen lähdekoodiin. Siksi kaikkien käyttäjien on toteutettava joitain varotoimia ennen asennusta, varsinkin jos työskentelemme kriittisen palvelimen tai järjestelmän sysadminina ...
Itse asiassa AUR-verkkosivusto varoittaa itse, että sisältöä on käytettävä käyttäjän omalla vastuulla, jonka on otettava riski. Ja tämän haittaohjelman löytäminen todistaa sen näin, tässä tapauksessa acroread muunnettiin 7. heinäkuuta, paketti, joka oli orpo ja jolla ei ollut ylläpitäjää, sattui muokkaamaan käyttäjä nimeltä xeactor, joka sisälsi käpristyskomennon ladata komentosarjakoodin automaattisesti paperista, joka käynnisti toisen komentosarjan, joka puolestaan loi systemd-yksikön asentaminen niin, että ne sitten suorittavat toisen komentosarjan myöhemmin.
Ja näyttää siltä, että kahta muuta AUR-pakettia on muutettu samalla tavalla laittomiin tarkoituksiin. Tällä hetkellä reposta vastaavat ovat poistaneet muokatut paketit ja poistaneet sen tehneen käyttäjän tilin, joten näyttää siltä, että muut paketit ovat tällä hetkellä turvallisia. Lisäksi kärsineiden rauhaa, mukana oleva haitallinen koodi ei tehnyt mitään vakavaa kyseisissä koneissa, yritä (kyllä, koska virhe yhdessä komentosarjassa estää suuremman pahan) ladata tiettyjä tietoja uhrin järjestelmästä.