Hackers voorzien meer dan 400 packages Arch User Repository van malware

In dit artikel:

Minstens 408 pakketten in de Arch User Repository (AUR) zijn besmet door kwaadwillenden die zich de beheerrol van verlaten Pkgbuilds toe-eigenden. Een nieuwe beheerder in de getroffen Pkgbuilds liet via de npm-registratie de malafide module atomic-lockfile binnenhalen; die module is bedoeld om inloggegevens te ontfutselen. Cybersecurityanalist Michael Taggart meldt dat de aanval nog gaande lijkt, terwijl andere AUR-beheerders inmiddels bezig zijn met het verwijderen van de geïnfecteerde bestanden. Volgens rapporten van Socket is atomic-lockfile 134 keer gedownload.

De AUR zelf bevat geen kant-en-klare binaries maar Pkgbuild-scripts die gebruikers lokaal compileren en vervolgens met Pacman installeren; doordat een Pkgbuild als ‘verweesd’ kan worden overgenomen, ontstaat een aanvalsvector waarbij iemand kwaadaardige code kan invoegen. Naast atomic-lockfile zijn ook bestanden met een andere schadelijke package, js-digest, aangetroffen; die laatste is inmiddels offline gehaald. Gebruikers van Arch Linux die AUR-pakketten installeren doen er verstandig aan Pkgbuilds en onderhouders te controleren, recente wijzigingen te verifiëren en voorlopig terughoudend te zijn met het installeren van geadopteerde of onbekende AUR-pakketten.