数日前 マルウェアが検出されました または、Arch Linuxディストリビューションの有名なリポジトリ、特にArch UserRepositoryまたは AUR それが知られているように。 そして、それは新しいことではありません。他の機会に、Linuxディストリビューションとソフトウェアパッケージがホストされている特定のサーバーを攻撃して、悪意のあるコードやバックドアでそれらを変更し、ユーザーが気付かないようにチェックサムを変更したこともあります。この攻撃と彼らが彼らのコンピュータに安全でない何かをインストールしていたことについて。
さて、今回はAURリポジトリにあったので、この悪意のあるコードは、このパッケージマネージャーをディストリビューションで使用したことのある一部のユーザーに感染した可能性があります。 悪意のあるコード。 AURがコンパイルおよびインストールするために提供するすべての機能にもかかわらず、パッケージはインストール前に検証されている必要があります。 パッケージ そのソースコードから簡単に、それは私たちがそのソースコードを信頼しなければならないという意味ではありません。 したがって、特に重要なサーバーまたはシステムのsysadminとして作業している場合は、すべてのユーザーがインストールする前にいくつかの予防措置を講じる必要があります...
実際、AUR Webサイト自体は、コンテンツはユーザー自身の責任の下で使用する必要があり、ユーザーがリスクを負う必要があると警告しています。 そして、このマルウェアの発見は、この場合、このようにそれを証明します アクロリード は7月XNUMX日に変更されました。孤立していてメンテナがいないパッケージは、ペーストビンからスクリプトコードを自動的にダウンロードするcurlコマンドを含むxeactorというユーザーによって変更され、別のスクリプトが起動されました。次に、systemdユニットのインストールを生成して、後で別のスクリプトを実行できるようにしました。
また、他のXNUMXつのAURパッケージが、違法な目的で同じように変更されているようです。 現時点では、リポジトリの責任者が変更されたパッケージを削除し、それを行ったユーザーのアカウントを削除しているため、残りのパッケージは当面は安全であると思われます。 また、 影響を受けた人々の静けさ、含まれている悪意のあるコードは、影響を受けるマシンで実際に深刻なことは何もしませんでした。被害者のシステムから特定の情報をロードしようとしただけでした(はい、スクリプトのXNUMXつでエラーが発生したため)。