Néhány nappal ezelőtt rosszindulatú programot észleltek vagy rosszindulatú kód az Arch Linux disztribúció híres tárházában, konkrétan az Arch Felhasználói adattárban vagy AUR mint ismert. És ez nem újdonság, máskor már láthattuk, hogy egyes számítógépes bűnözők megtámadtak bizonyos szervereket, ahol Linux disztribúciókat és szoftvercsomagokat tároltak, hogy valamilyen rosszindulatú kóddal vagy hátsó ajtóval módosítsák őket, és még az ellenőrző összegeket is módosították, hogy a felhasználók ne legyenek tudatában ennek a támadásnak. és hogy valami nem biztonságosat telepítettek a számítógépeikre.
Nos, ezúttal az AUR adattáraiban volt, így ez a rosszindulatú kód megfertőzhette azokat a felhasználókat, akik ezt a csomagkezelőt használták terjesztésükben, és ez tartalmazta azt rosszindulatú kód. A csomagokat a telepítés előtt ellenőrizni kellett volna, mivel az összes szolgáltatás ellenére, amelyet az AUR nyújt a fordításhoz és a telepítéshez csomagok forráskódjából könnyen nem jelenti azt, hogy megbíznunk kell abban a forráskódban. Ezért minden felhasználónak meg kell tennie bizonyos óvintézkedéseket a telepítés előtt, különösen, ha kritikus szerver vagy rendszer rendszergazdaként dolgozunk ...
Valójában maga az AUR webhely arra figyelmeztet, hogy a tartalmat a felhasználó saját felelősségére kell felhasználni, aki vállalja a kockázatokat. És ennek a rosszindulatú programnak a felfedezése ebben az esetben ezt bizonyítja acroread július 7-én módosult, egy árva és karbantartó nélküli csomagot véletlenül egy xeactor nevű felhasználó módosított, aki egy curl parancsot tartalmazott, hogy automatikusan letöltsön egy szkriptkódot egy paperinból, és elindított egy másik szkriptet, amely viszont generált egy egy systemd egység telepítése, hogy aztán később futtassanak egy másik szkriptet.
Úgy tűnik, hogy két másik AUR csomagot ugyanúgy módosítottak tiltott célokra. Jelenleg a repóért felelős személyek megszüntették a módosított csomagokat, és törölték annak a felhasználónak a számláját, amely ezt megtette, így úgy tűnik, hogy a többi csomag egyelőre biztonságban lesz. Ezen felül azért az érintettek nyugalma, a mellékelt rosszindulatú kód nem tett semmi igazán komolyat az érintett gépekben, csak próbálja meg (igen, mert az egyik szkript hibája megakadályozta a nagyobb gonoszt) betölteni bizonyos információkat az áldozat rendszeréből.