幾天前 檢測到惡意軟件 或Arch Linux發行版著名存儲庫中的惡意代碼,特別是Arch User Repository或 AUR 眾所周知。 這並不新鮮,我們已經在其他場合看到一些網絡犯罪分子是如何攻擊某些服務器的,這些服務器託管了Linux發行版和軟件包,用一些惡意代碼或後門程序對其進行了修改,甚至修改了校驗和,以使用戶不了解這種攻擊。並且他們在計算機上安裝了不安全的東西。
好吧,這次是在AUR存儲庫中,因此該惡意代碼可能感染了一些在其發行版中使用了此軟件包管理器的用戶,並且其中包含 惡意代碼。 這些軟件包應該在安裝之前經過驗證,因為儘管AUR提供了編譯和安裝的所有便利, 包 輕鬆地從其源代碼開始,這並不意味著我們必須信任該源代碼。 因此,所有用戶在安裝之前都應採取一些預防措施,尤其是當我們作為關鍵服務器或系統的系統管理員時...
實際上,AUR網站本身警告說,內容的使用必須由用戶自己承擔,用戶必須承擔風險。 在這種情況下,發現這種惡意軟件便證明了這一點 雜讀 已在7月XNUMX日修改了一個孤立且沒有維護者的程序包,該程序恰好被名為xeactor的用戶修改,該用戶包括curl命令以自動從pastebin下載腳本代碼,並啟動了另一個腳本,進而生成了一個安裝systemd單元,以便他們以後可以運行另一個腳本。
看來,出於非法目的,已經以相同方式修改了其他兩個AUR軟件包。 目前,負責回購的人員已刪除了更改的程序包,並刪除了執行此操作的用戶的帳戶,因此,其餘的程序包目前看來仍是安全的。 另外,對於 受災者的安寧,其中包含的惡意代碼在受影響的計算機上沒有做任何真正嚴重的事情,只需嘗試(是,因為其中一個腳本的錯誤防止了更大的惡果)從受害人的系統加載某些信息。