在Arch Linux用户存储库中发现恶意软件包

最受欢迎的Linux发行版之一Arch Linux在被发现承载恶意代码后，已经撤回了多达三个由用户维护的软件存储库AUR包。

Arch Linux是一个独立开发的通用GNU/Linux发行版，主要由免费开源软件组成，支持社区参与。

除了像Arch Build System（ABS）这样的官方存储库外，Arch Linux用户还可以从其他几个存储库下载软件包，包括由Arch Linux用户创建和管理的社区驱动存储库AUR（Arch User Repository）。

由于AUR包是用户制作的内容，Arch维护人员总是建议Linux用户仔细检查所有文件，尤其是PKGBUILD和任何其他文件。安装恶意命令的文件。

然而，最近发现该AUR存储库在多个实例中托管恶意软件代码，包括一个PDF查看器。

在Arch Linux AUR上发现受损的PDF查看器

6月7日，一个昵称为“xeactor”的恶意用户采用了一个名为“acroread”的孤立软件包（没有活动维护者的软件），该软件包的功能是PDF查看器，并对其进行了修改以添加恶意代码。

根据Git对包源代码的提交，xeactor添加了恶意代码，可以下载一个curl脚本，然后从远程服务器安装并运行一个脚本。

这个脚本安装了持久性软件，可以处理“systemd”并对其进行重新配置，每360秒运行一次。

调查显示，恶意脚本旨在收集受感染系统上的数据，以检索以下信息：

• 日期和时间
• 机器ID
• Pacman信息（包管理实用程序）
• “uname-a”命令的输出
• CPU信息
• “systemctl list units”命令的输出

然后，收集的数据将发布在Pastebin文档中。

幸运的是，代码分析在适当的时候发现了这些修改，并显示这些脚本似乎不是一个严重的威胁，但攻击者可以随时操纵有效负载来推送复杂的恶意代码。

一旦发现这一点，AUR的维护人员就恢复了在包中所做的更改，暂停了xeactor的帐户，还发现了另外两个xeactor最近以同样方式采用和修改的包。

更多恶意软件包

AUR团队还移除了另外两个包裹，但没有透露它们的名字。

因此，如果您是最近下载了“acroread”的Arch Linux用户，强烈建议您删除它。

尽管该漏洞并没有对Linux用户构成严重威胁，但这一事件确实引发了一场关于不受信任软件包安全性的辩论。

Arch的Giancarlo Razzolini发表评论称，用户提供的AUR软件包可能包含错误代码，明确信任此类软件包不是一个好的安全实践。

拉佐里尼说：“我很惊讶，这种愚蠢的软件包接管和恶意软件引入并没有更频繁地发生。这就是为什么我们坚持用户总是从AUR下载PKGBUILD，检查它，然后自己构建它。”。

“自动完成所有工作的助手和不注意的用户都会有问题。你应该使用助手，而不是AUR本身。”

因此，对于任何用户维护的存储库，用户都应该仔细检查他们正在下载的内容。