Komunita Arch Linuxu čelí novému bezpečnostnému incidentu, ktorý sa líši od predchádzajúcich malware útokov. Arch User Repository, často označované len ako AUR, bolo postihnuté masívnym spomínaním ruských vulgárností, ktoré sa objavujú pri spustení určitých balíčkov. Skript využívajúci umelú inteligenciu identifikoval približne 70 balíčkov, ktoré vypisujú do terminálu ruský spam obsahujúci nadávky. Na tému upozornil portál Phoronix.
Arch User Repository je od svojho počiatku neoficiálna, komunitou spravovaná platforma, ktorá umožňuje kompiláciu balíčkov priamo zo zdroja a ich následnú inštaláciu cez pacman. Táto architektúra znamená, že AUR obsahuje užívateľmi odovzdaný obsah, čo automaticky znamená, že nie všetky užívateľky majú dobré úmysly. Práve táto otvorenosť a komunitná správa robí AUR prirodzene menej bezpečným ako oficiálne repozitáre, ktoré sú plne kontrolované Arch Linux tímom.
Pri inštalácii alebo spustení týchto balíčkov sa používateľom v termináli zobrazujú texty, ktoré obsahujú ruský spam obsah. Tieto texty používateľom odporúčajú nepoužívať túto distribúciu Arch Linux a ešte menej AUR. Zároveň sa objavuje narážka, že používateľom má byť ľúto, že nemali nainštalovaný vírus, keďže sa im len zobrazuje toto varovanie. Na konci textov sa nachádza referencia na starý vtip o albánskym vírusu, čo naznačuje, že útočníci sa snažia vytvoriť ilúziu, že systém je bezpečný.
Tento nový problém nasleduje bezprostredne po masívnom útoku, pri ktorom bolo zistených až tisíce balíčkov nakazených skutočným malware. Počiatočné odhady uvádzali približne 400 infikovaných balíčkov, no následné preskúmanie odhalilo, že reálny počet mohol dosiahnuť až 2000 škodlivých balíčkov. Útočníci vtedy využili oficializované balíčky v AUR a pridali k nim škodlivý kód v procese inštalácie, čo predstavovalo vážne riziko pre bezpečnosť systému používateľov.
Bezpečnostný tím Arch Linuxu dnes oficiálne oznámil aktívny bezpečnostný incident v AUR, pričom detegoval veľké množstvo škodlivých adoptácií a aktualizácií balíčkov. Nevhodné balíčky budú mazané a účty ich vydavateľov blokované, hoci samotný spam nie je technicky škodlivý. Používateľom sa dôrazne odporúča zvážiť, či užívateľmi spravované repozitáre, ktoré používajú, sú dôveryhodné, a pri inštalácii balíčkov z AUR vždy kontrolovať packagebuild pred inštaláciou.
Tento incident opäť objavuje dlho známy trust model AUR, keďže repozitár je síce výkonný, ale zároveň rizikový, najmä pri orphan balíčkoch a AUR helpers. Okamžitá rada pre používateľov je zastaviť AUR aktualizácie, preskúmať posledné packagebuild balíčkov z AUR a kontrolovať pacman logs. Aj keď sa tento konkrétnej prípad nemusí javiť ako seriózna hrozba, ukázalo sa, že pomocou skriptov sa dokáže vkladať škodlivý kód priamo do balíčkov v AUR, čo samo o sebe predstavuje veľké bezpečnostné riziko.
Zdroj obrázkov: Gemini
Add new comment