Drei infizierte AUR-Pakete mit Schadsoftware entdeckt

Loading

Im Arch User Repository (AUR) wurden erneut schädliche Pakete gefunden. Drei von Nutzern hochgeladene Anwendungen enthielten eine Fernzugriffssoftware mit Schadcode.

Die betroffenen Pakete heißen librewolf-fix-bin, firefox-patch-bin und zen-browser-patched-bin. Alle wurden am 16. Juli veröffentlicht und stammten offenbar vom selben Urheber.

Sicherheitsexperten entdeckten einen Trojaner, der aus einem fremden GitHub-Skript geladen wurde. Damit hätten Angreifer volle Kontrolle über betroffene Systeme erlangen können.

Die Arch-Sicherheitsstelle reagierte schnell und entfernte alle Pakete bis zum 18. Juli. Nutzer sollten diese umgehend löschen und ihr System auf verdächtige Aktivitäten prüfen.

Weiterführende Informationen zur Sachlage gibt es hier.

3 Antworten zu „Drei infizierte AUR-Pakete mit Schadsoftware entdeckt“

  1. Jens

    Das ist der Nachteil bei Fremdpaketen, denen die Arch-Welt blind vertraut.

  2. AH

    Im AUR gibt es keine Pakete, nur die “Bauanleitungen” wie man diese Pakete (lokal) erstellt. Bei diesen “Bauanleitungen” sind die Quellenangaben besonders wichtig: Sind die dort angegebenen Adressen plausibel (z. B. für Opera wird das offizielle Opera.deb von deren Servern geladen und lokal in ein Pacman-Paket konvertiert, das dann installiert wird), ist man rel. sicher – solange Opera nicht selbst gehackt wurde und schon das .deb infiziert ist, wie damals beim LinuxMint-Hack deren offizielle ISOs.

  3. AH

    @Jens: Das ist falsch: PPAs muss man blind vertrauen, da man vorher nicht kontrollieren kann, was die Pakete enthalten und woher es stammt.

    Beim AUR wird einem die gestern beschriebene “Bauanleitung” vorher angezeigt (es wird sogar angeboten sie zu bearbeiten) und man muss sie erst bestätigen, bevor überhaupt etwas passiert.

    Wer hirnlos alles bestätigt, hat selbst Schuld.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert