Arch Linux

Linux Magazin: Arch User Repository mit Trojaner infiltriert

Josephus Miller

Betrifft wohl nur 3 Pakete, aber vllt sicherheitshalber doch mal überprüfen:

Arch User Repository mit Trojaner infiltriert

SUSEDJAlex

Josephus Miller
Danke für diesen Hinweis....

schard

Weder auf der offiziellen Arch Linux homepage, noch unter der Rubrik security, noch auf der AUR Startseite gibt es eine Meldung dazu. Das kann ja wohl nicht wahr sein. -.-

Dirk

schard Vermutlich ists auch nur der Sturm im Wasserglas, und das Linux-Magazin braucht mal wieder einen reißerischen Artikel.

Mich würde mal interessieren, ob die inzwischen längst entfernten Pakete überhaupt von normalen Anwendern installiert wurden.

Josephus Miller

schard

Bei lists.archlinux.org ist es zu finden

Dirk Mich würde mal interessieren, ob die inzwischen längst entfernten Pakete überhaupt von normalen Anwendern installiert wurden.

Immerhin warn sie 2 Tage verfügbar. Interessant fand ich vor allem, dass doch eine Überprüfung stattfindet, auch wenn diese nicht gründlich ist.

josefine

Ich meine mich erinnern zu können, dass irgendwo geschrieben stand, die fehlerhaften Pakete wurden sehr rasch erkannt und entfernt.

Dirk Vermutlich ists auch nur der Sturm im Wasserglas, und das Linux-Magazin braucht mal wieder einen reißerischen Artikel.

Dem stimme ich zu.

tuxnix

Josephus Miller Interessant fand ich vor allem, dass doch eine Überprüfung stattfindet

Die Überprüfung findet ausschließlich durch die Community statt.
Ich finde, dass diese Selbstkontrolle insgesamt doch recht gut funktioniert. Immerhin stellt das AUR über 92.000 PKBUILDs von Usern für User bereit und diese Freiheit wäre auf andere Weise auch gar nicht machbar.
Interessant finde ich die Namensgebung dieser schadhaften PKBUILDs:
librewolf-fix-bin, firefox-patch-bin und zen-browser-patched-bin

Jeder der ein wenig Erfahrung mit Linux hat, hätte sich allein schon bei den Namen fragen müssen, weshalb diese angeblichen patches nicht in die originären Pakete mit eingeflossen sind. Insofern denke ich, dass das Zielpublikum für die Angreifer wohl eher unerfahrene User waren, die AUR per GUI nutzen und auf vieles drauf klicken um es auszuprobieren.

GerBra

Hier nochmal ein Artikel mit etwas mehr Details

https://www.bleepingcomputer.com/news/security/arch-linux-pulls-aur-packages-that-installed-chaos-rat-malware/

Ich hab's das erste mal in diesem Thread auf .org gelesen:
https://bbs.archlinux.org/viewtopic.php?id=307075
(Bis ich den eben wiedergefunden habe... hat gedauert aufgrund des Titels)

//Edit: Alles in allem ein gutes Beispiel, wie wichtig es ist PKGBUILDs aus dem AUR zu prüfen (IMHO fast jeder AUR-Helper bietet das an).
Gesundes Mißtrauen ist angeraten, im Beispiel:
Das sind alles Bin-Pakete, also die nur das Executable von Upstream packen und organisieren um als pacman-Paket installierbar zu sein. Für Binär-Pakete gibt es keine "Patches" (das wäre meist illegal). Wenn sowas im Source-Array aufgeführt wird: Alarmglocken!
Vor allem bei externen Quellen, die "irgendetwas" machen und in irgendeinem Schritt beim Paketerstellen zuschlagen.
Patches für Sourcecode-basierte Pakete sollten immer als (Text)-Diff-Patch mit dem AUR-Paket kommen (lesbar,prüfbar).

SUSEDJAlex

seit 1. August ist es wieder:

https://linuxnews.de/schon-wieder-malware-im-aur-von-arch-linux/

Diesmal wird Chrome infiltirert....