Kilka dni temu wykryto szkodliwe oprogramowanie lub złośliwy kod w słynnym repozytorium dystrybucji Arch Linux, w szczególności w Arch User Repository lub AUR jak to jest znane. I to nic nowego, widzieliśmy już przy innych okazjach, jak niektórzy cyberprzestępcy zaatakowali określone serwery, na których hostowane były dystrybucje Linuksa i pakiety oprogramowania, aby zmodyfikować je za pomocą złośliwego kodu lub backdoorów, a nawet zmodyfikować sumy kontrolne, aby użytkownicy nie byli świadomi tego ataku. i że instalowali na swoich komputerach coś niezabezpieczonego.
Cóż, tym razem było to w repozytoriach AUR, więc ten złośliwy kod mógł zainfekować niektórych użytkowników, którzy używali tego menedżera pakietów w swojej dystrybucji i zawierał to złośliwy kod. Pakiety powinny zostać zweryfikowane przed instalacją, ponieważ pomimo wszystkich udogodnień, które AUR zapewnia do kompilacji i instalacji paquetes łatwo z kodu źródłowego, nie oznacza to, że musimy ufać temu kodowi źródłowemu. Dlatego wszyscy użytkownicy powinni zachować pewne środki ostrożności przed instalacją, zwłaszcza jeśli pracujemy jako administratorzy dla krytycznego serwera lub systemu ...
W rzeczywistości sama witryna AUR ostrzega, że zawartość musi być używana na własną odpowiedzialność użytkownika, który musi przyjąć ryzyko. A odkrycie tego złośliwego oprogramowania dowodzi tego w tym przypadku przeczytaj został zmodyfikowany 7 lipca, pakiet, który został osierocony i nie miał żadnego opiekuna, został zmodyfikowany przez użytkownika o nazwie xeactor, który włączył polecenie curl do automatycznego pobierania kodu skryptu z pastebina, który uruchomił inny skrypt, który z kolei wygenerował instalacja jednostki systemd, aby później uruchomić inny skrypt.
Wygląda na to, że dwa inne pakiety AUR zostały zmodyfikowane w ten sam sposób do nielegalnych celów. Na razie osoby odpowiedzialne za repozytorium usunęły zmienione pakiety i usunęły konto użytkownika, który to zrobił, więc wydaje się, że reszta pakietów będzie na razie bezpieczna. Ponadto dla spokój poszkodowanych, zawarty złośliwy kod nie zrobił nic naprawdę poważnego na zaatakowanych maszynach, po prostu spróbuj (tak, ponieważ błąd w jednym ze skryptów zapobiegł większemu złu) załadowania pewnych informacji z systemu ofiary.