Arch Linux leállítja az új AUR-regisztrációkat a rosszindulatú programok áradata után

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Az Arch Linux letiltotta az új fiókregisztrációkat az Arch User Repositoryban (AUR), miközben egy rosszindulatú programkampány megfékezésén dolgoznak, amely a múlt héten végigsöpört a közösségi csomag tárolón.

Az AUR az a hely, ahol az Arch felhasználók olyan szoftvereket keresnek, amelyek még nem kerültek be a hivatalos tárolókba. Közösségi alapon működik és nem él rá hivatalos támogatás, vagyis a csomagokat a felhasználók küldik be, az Arch csapat pedig nem vállal garanciát a biztonságukra.

Már az első hullámban több mint 1500 csomagot érintett a támadás, és röviddel azután, hogy a fejlesztők úgy gondolták, sikerült mindent megtisztítani, még két újabb hullám követte.

Mi történt?

Június 11-én Jonathan Grotelüschen Arch fejlesztő külön szálat nyitott az aur-general levelezőlistán, és arra kérte a közösséget, hogy jelentsék a kompromittált csomagokat. Másnap Campbell Jones hivatalos hírt tett közzé, amelyben elismerte, hogy „nagy mennyiségű rosszindulatú csomag-örökbefoglalás és frissítés” történt az AUR-ban.

A közösség egyik tagja, a821 visszakövette a kezdeti csomagokat egy js-digest nevű rosszindulatú npm csomagig, amelyet a telepítés utáni scriptekbe ágyaztak be. Nem sokkal később koraynilay szélesebb körű keresést futtatott GitHub AUR tükrén, a js-digestet használva jelölőként, és körülbelül 850+ érintett csomagot talált. Megjegyezte, hogy ez a szám már csökken, ahogy a fejlesztők sorra eltávolítják őket.

A nap végére Jonathan közölte, hogy törölték az összes ismert rosszindulatú commitot, és hivatkozott egy dokumentumra, amely több mint 1500 csomagot sorolt fel.

Ezzel azonban nem ért véget az ügy. Június 13-án a821 újabb adagot jelzett, ezúttal egy másik technikával. A „bun” szót karakterlánc-literekként darabolták fel 'b''u''n' formában, hogy átcsússzanak a detektáláson.

Ebben a hullámban nagyjából 50 csomagot fogtak meg, köztük böngészőcsomagokat, egy csokornyi nodejs-* csomagot, a Plasma6-applets-fancytasks csomagot, egy NeoVim plugint és LibreWolf kiegészítőket.

Egy nappal később Nicolas Boichat újabb adagot szúrt ki, ezúttal jóval erősebben elrejtve. Egy helyben futtatott Gemma E2B modellel találta meg őket, a jelzett csomagok között szerepelt többek között a htbrowser-bin is.

Mit tehetsz?

Ugorjunk az időben előre: az Arch Linux csapatából Leonidas Spyropoulos június 15-én bejelentette, hogy letiltották az új AUR-fiókregisztrációkat, amíg kitakarítják az AUR-t.

Fontos, hogy a fő Arch Linux tárolók érintetlenek maradtak, a rosszindulatú commitok kizárólag az AUR-t érintik.

Ha attól tartasz, hogy rosszindulatú csomagok kerülhettek a rendszeredre, vagy egyszerűen csak óvatos szeretnél lenni, az Arch csapat azt javasolja, hogy frissítés előtt nézd át az összes PKGBUILD és telepítési script módosítását, különösen most.

Ha pedig bármi gyanúsat találsz, arra kérik a felhasználókat, hogy jelezzék az aur-general levelezőlistán, azzal, hogy válaszolnak az AUR REPORT THREAD témára (amelyet korábban is linkeltek).