Hace unos días se ha detecado malware o código malicioso en el famoso repositorio de la distro Arch Linux, concretamente en Arch User Repository o AUR como se le conoce. Y no es nada nuevo, ya hemos visto en otras ocasiones como algunos ciberdelincuentes atacaban a ciertos servidores donde se alojaban distribuciones Linux y paquetes de software para modificarlos con algún código malicioso o backdoors e incluso modificaban las sumas de verificación para que los usuarios no fuesen conscientes de este ataque y de que estaban instalando algo inseguro en sus equipos.
Pues bien, esta vez ha sido en los repositorios AUR, así que este código malicioso podría haber infectado a algunos usuarios que han usado este gestor de paquetes en su distro y que contenía ese código malicioso. Los paquetes deberían haberse verificado antes de la instalación, ya que a pesar de todas las facilidades que aporta AUR para compilar e instalar paquetes fácilmente desde su codigo fuente, no quiere decir que nos tengamos que fiar de ese código fuente. Por eso, todos los usuarios deberían tomar algunas precauciones antes de instalar, especialmente si estamos trabajando como sysadmins de algún servidor o sistema crítico…
De hecho, la pripia página web de AUR alerta de que el contenido debe usarse bajo la propia responsabilidad del usuario, que debe asumir los riesgos. Y el descubrimiento de este malware lo demuestra así, en este caso Acroread se modificó el 7 de julio, un paquete que era huérfano y no tenía mantenedor pasó a ser modificado por un usuario llamado xeactor que incluyó un comando curl para descargar un código de un script automáticamente desde un pastebin, eso lanzaba otra secuencia de comandos que a su vez generaban una instalación de una unidad de systemd para que luego ejecutasen otra secuencia de comandos posteriormente.
Y parece que otros dos paquetes de AUR han sido modificados de la misma manera para fines ilícitos. Por el momento, los responsables del repo han eliminado los paquetes alterados y han eliminado la cuenta del usuario que lo hizo, por lo que parece que el resto de paquetes estarán a salvo por el momento. Además, para tranquilidad de los afectados, el código malicioso incluido no hizo nada realmente grave en las máquinas afectadas, solo intentar (sí, porque un error en uno de los scripts evitaron un mal mayor) cargar cierta información del ssitema de la víctima.