Το αποθετήριο software του Arch Linux, που ονομάζεται Arch User Repository (AUR), έχει μολυνθεί από κακόβουλο λογισμικό. Μέχρι στιγμής τρία πακέτα Arch Linux που είναι διαθέσιμα στο αποθετήριο, βρέθηκαν να περιέχουν κακόβουλα προγράμματα.
Ο χώρος αποθήκευσης περιέχει πακέτα που έχουν υποβληθεί από χρήστες και αυτός ήταν ο τρόπος με τον οποίο το κακόβουλο λογισμικό εισέβαλε στο αποθετήριο. Ένας χρήστης με το όνομα “xeactor” κατέλαβε ένα “ορφανό” πακέτο, με το όνομα “acroread” το οποίο λειτουργούσε ως πρόγραμμα προβολής PDF και του πρόσθεσε έναν κακόβουλο κώδικα.
Σύμφωνα με το Git, ο “Xeactor” πρόσθεσε έναν κώδικα που θα μπορούσε να κατεβάσει ένα script το οποίο με τη σειρά του θα εγκαθιστούσε λογισμικό που αναμιγνύεται με το “systemd” και το αναμορφώνει. Αυτό το script τρέχει κάθε 360 δευτερόλεπτα.
Το κακόβουλο πρόγραμμα προορίζεται για να συλλέξει τα δεδομένα του μολυσμένου συστήματος, συμπεριλαμβανομένης της ημερομηνίας, της ώρας, του ID του μηχανήματος, των λεπτομερειών του package manager, των πληροφοριών CPU και των outputs των εντολών “uname-a” και “systemctl list-units”. Τα δεδομένα που συλλέγονται καταχωρούνται σε ένα νέο αρχείο Pastebin.
Δύο ακόμα πακέτα μολύνθηκαν, επίσης, με παρόμοιο τρόπο. Παρόλο που δεν αποτελεί σοβαρή απειλή για τους μολυσμένους υπολογιστές, αναμένεται ότι ο “xeactor” θα μπορούσε να εκκινήσει ένα άλλο κακόβουλο λογισμικό, πιο επικίνδυνο αυτή τη φορά.
Μετά την ανακάλυψη του malware, τα πακέτα επιδιορθώθηκαν και η ομάδα AUR ανέστειλαν τον “xeactor”.
Ωστόσο, αυτή η επίθεση δημιουργεί σοβαρές ανησυχίες σχετικά με την αξιοπιστία των αποθετηρίων πακέτων που υποβάλλονται από τους χρήστες. Νωρίτερα φέτος, η ομάδα του Ubuntu Store βρήκε επίσης έναν κρυμμένο cryptocurrency miner σε ένα πακέτο του Ubuntu.
