Інцидент з шкідливим ПЗ в Arch Linux AUR
Інцидент з шкідливим ПЗ в Arch Linux AUR
AUR Arch Linux зазнає інциденту з шкідливим програмним забезпеченням, пов’язаним із пакетами, внесеними користувачами. Зловмисні коміти намагаються завантажити вантажі на базі npm під час встановлення.
Огляд ситуації в Arch User Repository
Проблема вперше була відзначена в поштовому списку aur-general проекту Arch Linux. Учасники спільноти відслідковують уражені пакети в спеціально відведеній темі. Тривають зусилля з очистки, зловмисні коміти видаляються, а відповідні облікові записи заборонюються.
Важливо зазначити, що цей інцидент зачіпає лише Arch User Repository, а не офіційні репозиторії пакетів Arch Linux.
Деталі шкідливих змін у пакетах AUR
У даному випадку підозрілі зміни в пакетах AUR додали команди npm, які не стосуються оригінального програмного забезпечення. Спільнота повідомляє, що зловмисна логіка спрацьовує під час встановлення, часто з використанням пакунків npm, таких як atomic-lockfile.
Яскравим прикладом є пакет alvr, де підозріле оновлення додало поведінку, пов’язану з npm, до програмного забезпечення, яке зазвичай не використовує npm. Інші звіти підкреслюють схожі зміни в додаткових пакетах, і учасники Arch просять користувачів повідомляти про подальші зловмисні коміти в центральній темі.
Рекомендації для користувачів Arch Linux
У зв’язку з цим, користувачі Arch не повинні оновлювати пакети AUR без попереднього перегляду. Рекомендується перевіряти відмінності в PKGBUILD, перевіряти нові файли .install та бути обережними, якщо оновлення вводять команди або залежності npm, що не стосуються програмного забезпечення.
Користувачі, які нещодавно оновили уражені пакети AUR, повинні переглянути історію пакетів, перевірити виконувані підозрілі сценарії установки та ставитися до будь-якої неочікуваної поведінки установки на основі npm як до можливого компромісу.
Спільнота Arch все ще оцінює повний обсяг інциденту, і список уражених пакетів може змінюватися. Наразі кілька пакетів AUR отримали зловмисні коміти, учасники видаляють їх, а користувачів нагадують переглядати пакети AUR перед установкою.
Більш детальну інформацію можна знайти на офіційному сайті Arch Linux та на сторінці з новинами про інцидент.
