Een paar dagen geleden kwaadaardige software gedetecteerd of kwaadaardige code in de beroemde repository van de Arch Linux-distro, met name in Arch User Repository of AUR zoals het bekend is. En het is niets nieuws, we hebben al bij andere gelegenheden gezien hoe sommige cybercriminelen bepaalde servers aanvielen waar Linux-distributies en softwarepakketten werden gehost om ze aan te passen met wat kwaadaardige code of achterdeurtjes en zelfs de checksums aanpasten zodat gebruikers het niet wisten van deze aanval en dat ze iets onveiligs op hun computers installeerden.
Nou, deze keer was het in de AUR-repositories, dus deze kwaadaardige code had mogelijk enkele gebruikers geïnfecteerd die deze pakketbeheerder in hun distro hebben gebruikt en die dat bevatte kwaadaardige code. De pakketten hadden vóór installatie geverifieerd moeten zijn, aangezien ondanks alle faciliteiten die AUR biedt om te compileren en te installeren paquetes eenvoudig vanuit de broncode, betekent dit niet dat we die broncode moeten vertrouwen. Daarom moeten alle gebruikers enkele voorzorgsmaatregelen nemen voordat ze installeren, vooral als we werken als sysadmins voor een kritieke server of systeem ...
In feite waarschuwt de AUR-website zelf dat de inhoud moet worden gebruikt onder de eigen verantwoordelijkheid van de gebruiker, die de risico's moet dragen. En de ontdekking van deze malware bewijst het in dit geval zo acrolees werd gewijzigd op 7 juli, een pakket dat verweesd was en geen onderhouder had, werd toevallig gewijzigd door een gebruiker genaamd xeactor die een curl-opdracht toevoegde om automatisch een scriptcode te downloaden van een pastebin, die een ander script lanceerde om op hun beurt genereerden ze een installatie van een systemd-eenheid, zodat ze later een ander script zouden uitvoeren.
En het lijkt erop dat twee andere AUR-pakketten op dezelfde manier zijn aangepast voor illegale doeleinden. Op dit moment hebben degenen die verantwoordelijk zijn voor de repo de gewijzigde pakketten verwijderd en het account verwijderd van de gebruiker die het heeft gedaan, dus het lijkt erop dat de rest van de pakketten voorlopig veilig zal zijn. Bovendien, voor rust van de getroffenen, de inbegrepen kwaadaardige code deed niets echt ernstigs in de getroffen machines, probeer gewoon (ja, want een fout in een van de scripts verhinderde een groter kwaad) om bepaalde informatie uit het systeem van het slachtoffer te laden.