几天之前 检测到恶意软件 或Arch Linux发行版著名存储库中的恶意代码,特别是Arch用户存储库或 AUR 众所周知。 这并不新鲜,我们已经在其他场合看到一些网络犯罪分子是如何攻击某些服务器的,这些服务器托管了Linux发行版和软件包,用一些恶意代码或后门程序对其进行了修改,甚至修改了校验和,以使用户不知道以及他们在计算机上安装了不安全的东西。
好吧,这次是在AUR存储库中,因此该恶意代码可能感染了一些在其发行版中使用了此软件包管理器的用户,其中包含 恶意代码。 这些软件包应该在安装之前经过验证,因为尽管AUR提供了编译和安装的所有便利, 包 轻松地从其源代码开始,这并不意味着我们必须信任该源代码。 因此,所有用户在安装之前都应采取一些预防措施,尤其是当我们作为关键服务器或系统的系统管理员时...
实际上,AUR网站本身警告说,内容的使用必须由用户自己承担,用户必须承担风险。 在这种情况下,这种恶意软件的发现证明了它是这样的 精读 已在7月XNUMX日修改了一个孤立且没有维护者的程序包,该程序恰好被名为xeactor的用户修改,该用户包括curl命令以自动从pastebin下载脚本代码,并启动了另一个脚本来反过来,他们生成了systemd单元的安装,以便以后可以运行另一个脚本。
看来,出于非法目的,已经以相同方式更改了其他两个AUR软件包。 目前,负责回购的人员已删除了更改的程序包,并删除了执行该操作的用户的帐户,因此,目前看来其余的程序包将是安全的。 另外,对于 受灾者的安宁,其中包含的恶意代码在受影响的计算机上没有做任何真正严重的事情,只是尝试(是的,因为脚本之一中的错误阻止了更大的恶果),从受害者的系统中加载了某些信息。