В Arch Linux AUR снова обнаружено вредоносное ПО с трояном удаленного доступа

Через десять дней после предыдущего инцидента в репозитории Arch User Repository (AUR) вновь найдены пакеты с вредоносным программным обеспечением, содержащим троян удаленного доступа (RAT).

Что такое AUR и почему это важно?

Arch User Repository — это управляемый сообществом репозиторий программного обеспечения для Arch Linux, который считается одной из ключевых особенностей этой операционной системы. Пользователи ценят AUR за разнообразие и гибкость, но последние события вызывают серьезные опасения у сообщества.

Новый инцидент с google-chrome-stable

Сегодня в AUR был обнаружен пакет под названием google-chrome-stable, который, помимо установки браузера Google Chrome, запускал троян удаленного доступа. Такое вредоносное ПО способно предоставить злоумышленникам контроль над зараженным устройством, позволяя красть данные, устанавливать дополнительные вредоносные программы или следить за действиями пользователя.

Пакет был загружен новым пользователем с никнеймом forsenontop, зарегистрированным всего за несколько часов до загрузки. В PKGBUILD-файле пакета google-chrome-stable содержалась инструкция установки, указывающая на файл google-chrome-bin.install. Этот файл, в свою очередь, вызывал скрипт google-chrome-stable.sh, который перед запуском браузера выполнял команду Python. Команда загружала внешний ресурс, содержащий вредоносное ПО, активируемое при каждом запуске Chrome.

Для справки: опция -c в Python позволяет выполнять команду, переданную в виде строки, непосредственно из командной строки.

Реакция сообщества и администрации

Пакет google-chrome-stable просуществовал в AUR всего несколько часов, но успел получить несколько голосов поддержки, что указывает на его установку некоторыми пользователями. После поступления жалобы администрация AUR оперативно удалила пакет. Пользователям, установившим этот пакет, рекомендуется немедленно удалить его и провести полную проверку системы на наличие угроз. В подобных случаях переустановка операционной системы остается самым надежным способом восстановления безопасности.

Безопасность AUR под вопросом

Этот инцидент вновь поднимает вопрос о безопасности использования программ из AUR. Важно отметить, что разработчики Arch Linux не несут ответственности за содержимое репозитория, поскольку AUR полностью поддерживается сообществом. Пакеты в AUR не проходят официальную проверку, что делает их потенциально уязвимыми для подобных атак.

Текущая ситуация подчеркивает необходимость ужесточения правил загрузки программного обеспечения в AUR. Новый аккаунт, созданный за несколько часов до загрузки, смог опубликовать пакет с названием, которое выглядит вполне легитимным для большинства пользователей. Без внимательного анализа содержимого пакета многие могут установить его, доверяя знакомому имени.

Почему браузеры — главная цель?

Как и в предыдущем инциденте, злоумышленники выбрали браузеры в качестве цели для распространения вредоносного ПО. Это неудивительно, учитывая их популярность и широкое использование. Браузеры являются одними из самых востребованных приложений, что делает их привлекательной мишенью для атак.

Рекомендации для пользователей AUR

Чтобы минимизировать риски, перед установкой пакетов из AUR рекомендуется:

• Проверять историю пакета и его репутацию в сообществе.

• Избегать установки недавно загруженных пакетов, особенно от новых пользователей.

• Тщательно анализировать PKGBUILD-файлы и связанные скрипты перед установкой.

• Использовать инструменты для проверки безопасности, такие как антивирусы или песочницы.

В условиях участившихся атак на AUR внимательность и осторожность становятся ключевыми для обеспечения безопасности вашей системы.