Pochi giorni fa malware rilevato o codice dannoso nel famoso repository della distribuzione Arch Linux, in particolare in Arch User Repository o AUR come è noto. E non è una novità, abbiamo già visto in altre occasioni come alcuni cybercriminali hanno attaccato alcuni server in cui erano ospitate distribuzioni Linux e pacchetti software per modificarli con codice dannoso o backdoor e persino modificato i checksum in modo che gli utenti non fossero a conoscenza di questo attacco e che stavano installando qualcosa di insicuro sui loro computer.
Bene, questa volta era nei repository AUR, quindi questo codice dannoso potrebbe aver infettato alcuni utenti che hanno utilizzato questo gestore di pacchetti nella loro distribuzione e che lo conteneva Codice malevolo. I pacchetti avrebbero dovuto essere verificati prima dell'installazione, poiché nonostante tutti i servizi che AUR fornisce per la compilazione e l'installazione Pacchetti facilmente dal suo codice sorgente, non significa che dobbiamo fidarci di quel codice sorgente. Pertanto, tutti gli utenti dovrebbero prendere alcune precauzioni prima dell'installazione, soprattutto se stiamo lavorando come amministratori di sistema per un server o un sistema critico ...
Infatti, il sito web di AUR stesso avverte che il contenuto deve essere utilizzato sotto la responsabilità dell'utente, che deve assumersi i rischi. E la scoperta di questo malware lo dimostra così, in questo caso acroread è stato modificato il 7 luglio, un pacchetto che era orfano e non aveva un manutentore è stato modificato da un utente chiamato xeactor che includeva un comando curl per scaricare automaticamente un codice di script da un pastebin, che ha lanciato un altro script che a sua volta ha generato un installazione di un'unità systemd in modo da eseguire successivamente un altro script.
E sembra che altri due pacchetti AUR siano stati modificati allo stesso modo per scopi illeciti. Per il momento, i responsabili del repo hanno eliminato i pacchetti alterati e hanno cancellato l'account dell'utente che lo ha fatto, quindi sembra che il resto dei pacchetti per il momento sarà al sicuro. Inoltre, per tranquillità delle persone colpite, il codice dannoso incluso non ha fatto nulla di veramente grave nelle macchine colpite, basta provare (sì, perché un errore in uno degli script ha impedito un male maggiore) a caricare determinate informazioni dal sistema della vittima.