Несколько дней назад обнаружено вредоносное ПО или вредоносный код в известном репозитории дистрибутива Arch Linux, в частности в пользовательском репозитории Arch или AUR как известно. И в этом нет ничего нового, мы уже видели в других случаях, как некоторые киберпреступники атаковали определенные серверы, на которых размещались дистрибутивы Linux и программные пакеты, чтобы модифицировать их с помощью какого-либо вредоносного кода или бэкдоров, и даже изменяли контрольные суммы, чтобы пользователи не знали об этой атаке. и что они устанавливали на свои компьютеры что-то небезопасное.
Что ж, на этот раз он был в репозиториях AUR, поэтому этот вредоносный код мог заразить некоторых пользователей, которые использовали этот менеджер пакетов в своем дистрибутиве и который содержал этот вредоносный код. Пакеты должны быть проверены перед установкой, поскольку, несмотря на все возможности, которые AUR предоставляет для компиляции и установки пакеты легко из исходного кода, это не означает, что мы должны доверять этому исходному коду. Поэтому все пользователи должны принять некоторые меры предосторожности перед установкой, особенно если мы работаем как системные администраторы для критически важного сервера или системы ...
Фактически, сам веб-сайт AUR предупреждает, что контент должен использоваться под собственную ответственность пользователя, который должен принять на себя риски. И обнаружение этой вредоносной программы доказывает это, в данном случае Акрорид был изменен 7 июля, пакет, который был осиротевшим и не имел поддержки, был изменен пользователем по имени xeactor, который включил команду curl для автоматической загрузки кода сценария из pastebin, который запустил другой сценарий, который, в свою очередь, сгенерировал установка модуля systemd, чтобы позже они запустили другой скрипт.
И похоже, что два других пакета AUR были изменены таким же образом в незаконных целях. На данный момент ответственные за репо удалили измененные пакеты и удалили учетную запись пользователя, который это сделал, поэтому кажется, что остальные пакеты на данный момент будут в безопасности. Кроме того, для спокойствие пострадавших, включенный вредоносный код не сделал ничего серьезного на пораженных машинах, просто попробуйте (да, потому что ошибка в одном из сценариев предотвратила большее зло) загрузить определенную информацию из системы жертвы.