Ситуація з AUR: Виявлено шкідливе програмне забезпечення

Ситуація з AUR: Виявлено шкідливе програмне забезпечення

AUR (Arch User Repository) — це спільнота, яка створює колекцію програмного забезпечення, що надходить від користувачів Arch. AUR вважається однією з найбільших переваг Arch Linux і часто називається його прихованим дорогоцінним каменем. Проте за останні два тижні ця система підняла серйозні занепокоєння серед численної бази користувачів.

Виявлення Remote Access Trojan

Десять днів тому кілька пакетів програмного забезпечення в AUR містили Remote Access Trojan (RAT), прихований у пакетах, пов’язаних з популярними веб-браузерами. Звичайно, команда AUR швидко відреагувала та видалила їх. Але тепер ми знову стикаємося з аналогічною ситуацією.

Шкідливе програмне забезпечення в google-chrome-stable

Цього разу ситуація майже ідентична: пакет google-chrome-stable не лише встановлює браузер Google, але також запускає RAT на вашій системі. Це шкідливе програмне забезпечення може дати зловмисникам контроль над зараженим пристроєм, дозволяючи їм красти дані або встановлювати більше шкідливих програм.

Пакет було завантажено сьогодні користувачем, який лише кілька годин тому зареєструвався під псевдонімом forsenontop.

Що ж відбувається насправді?

У PKGBUILD для пакета google-chrome-stable є директива install, що посилається на файл google-chrome-bin.install. Цей файл, в свою чергу, викликає скрипт запуску під назвою google-chrome-stable.sh.

Якщо подивитися уважніше, можна помітити підозрілі дії: перед запуском Chrome скрипт запускає команду python, яка завантажує зовнішній ресурс. Цей ресурс завантажує та запускає шкідливе програмне забезпечення кожного разу, коли ви запускаєте Chrome.

Для уточнення, параметр -c говорить Python виконати команду, яку передано як рядок безпосередньо з командного рядка.

Що робити, якщо ви встановили шкідливий пакет?

Доброю новиною є те, що пакет google-chrome-stable був доступний в AUR лише кілька годин перед виявленням шкідливого програмного забезпечення. Однак він отримав кілька голосів “за”, що вказує на те, що деякі користувачі все ж його встановили.

На щастя, після надходження повідомлення адміністратори AUR швидко відреагували і видалили пакет. Тож, якщо ви його встановили, обов’язково видаліть його негайно та проведіть повну перевірку безпеки вашої системи. У випадках такого ґатунку, переінсталяція системи — це єдиний гарантований спосіб виправити ситуацію.

Безпека використання AUR

Цей останній інцидент піднімає старе питання: наскільки безпечно використовувати програмне забезпечення з AUR? Важливо зазначити, що розробники Arch не несуть відповідальності за вміст AUR. Програмне забезпечення там повністю надане та підтримується спільнотою Arch, і команда Arch не підтримує його офіційно.

Виходячи з цієї ситуації, важливо зміцнити правила для завантаження програмного забезпечення. Цей інцидент показує, як легко фейковому аккаунту, створеному всього кілька годин тому, завантажити щось із назвою google-chrome-stable. І чесно кажучи, така назва виглядає цілком легітимно для більшості людей. Багато користувачів встановлюють його, не заглядаючи, що всередині.

Коли ми дивимось на цю ситуацію, зрозуміло, що браузери стали цільовими об’єктами для розповсюдження шкідливого програмного забезпечення. Це не дивно, адже браузери є одними з найпопулярніших програм.

Отже, під час наступної інсталяції чогось з AUR, витратьте кілька хвилин, щоб перевірити, чи має пакет добру репутацію. Пакет з історією дає вам хоча б трохи спокою. Але що б ви не робили, ніколи не встановлюйте те, що щойно було завантажено без жодної історії — незалежно від того, як надійно звучить назва.