В репозитории Arch User Repository (AUR) обнаружены пакеты-имитаторы: firefox-patch-bin, librewolf-fix-bin, zen-browser-patched-bin. Вместо оптимизации они внедряли троян Chaos через поддельные GitHub-патчи (zenbrowser-patch, youtube-viewbot).
Как работала атака:
→ При установке запускался скрипт Python, копирующий троян в /usr/local/share/systemd-initd (с root) или ~/.local/share (без прав);
→ Троян создавал сервис custom-initd.service для автозапуска;
→ Функции Chaos: удалённый доступ, кража файлов, майнинг криптовалюты.
Хронология:
→ 16 июля (23:00 МСК): загрузка в AUR;
→ 18 июля (15:00 МСК): спам-кампания («исправлены утечки памяти!»);
→ 19:00 МСК: удаление администраторами;
→ 21:00 МСК: новая волна (minecraft-cracked, ttf-ms-fonts-all и др.) — быстро устранена.