Il y a quelques jours logiciel malveillant détecté ou du code malveillant dans le célèbre référentiel de la distribution Arch Linux, en particulier dans le référentiel Arch User ou AUR comme il est connu. Et ce n'est pas nouveau, nous avons déjà vu à d'autres occasions comment certains cybercriminels ont attaqué certains serveurs où des distributions Linux et des progiciels étaient hébergés pour les modifier avec du code malveillant ou des portes dérobées et même modifié les sommes de contrôle afin que les utilisateurs n'en soient pas conscients. de cette attaque et qu'ils installaient quelque chose de non sécurisé sur leurs ordinateurs.
Eh bien, cette fois, c'était dans les référentiels AUR, donc ce code malveillant aurait pu infecter certains utilisateurs qui ont utilisé ce gestionnaire de paquets dans leur distribution et qui contenait que code malveillant. Les packages doivent avoir été vérifiés avant l'installation, car malgré toutes les fonctionnalités fournies par AUR pour compiler et installer forfaits facilement à partir de son code source, cela ne signifie pas que nous devons faire confiance à ce code source. Par conséquent, tous les utilisateurs doivent prendre quelques précautions avant l'installation, surtout si nous travaillons en tant qu'administrateurs système pour un serveur ou un système critique ...
En effet, le site AUR lui-même avertit que le contenu doit être utilisé sous la propre responsabilité de l'utilisateur, qui doit en assumer les risques. Et la découverte de ce malware le prouve comme ça, dans ce cas Acrolire a été modifié le 7 juillet, un paquet qui était orphelin et qui n'avait pas de responsable a été modifié par un utilisateur appelé xeactor qui incluait une commande curl pour télécharger automatiquement un code de script à partir d'un pastebin, qui a lancé un autre script qui à leur tour, ils ont généré une installation d'une unité systemd afin d'exécuter un autre script plus tard.
Et il semble que deux autres packages AUR aient été modifiés de la même manière à des fins illicites. Pour le moment, les responsables du repo ont éliminé les packages modifiés et ont supprimé le compte de l'utilisateur qui l'a fait, il semble donc que le reste des packages sera en sécurité pour le moment. De plus, pour tranquillité des personnes touchées, le code malveillant inclus n'a rien fait de vraiment grave dans les machines affectées, il suffit d'essayer (oui, car une erreur dans l'un des scripts a empêché un plus grand mal) de charger certaines informations depuis le système de la victime.