Всего через десять дней после предыдущего инцидента в пакетах Arch Linux AUR снова было обнаружено вредоносное ПО с трояном для удалённого доступа.
AUR (Arch User Repository) — коллекция программного обеспечения, созданная сообществом пользователей Arch, - долгое время считалась одним из главных преимуществ Arch Linux, его часто называли скрытой жемчужиной. Но последние две недели она вызывает серьёзную обеспокоенность у его обширной пользовательской базы. Всего десять дней назад несколько пакетов программ в AUR содержали троян удалённого доступа (RAT), скрытый в пакетах, привязанных к некоторым из самых популярных веб-браузеров. Конечно, команда AUR быстро отреагировала и немедленно удалила их.
Поразительно, что на этот раз ситуация практически та же : пакет под названием google-chrome-stable не просто устанавливает браузер Google, но и запускает RAT в вашей системе. Такое вредоносное ПО потенциально может предоставить злоумышленникам контроль над заражённой машиной, позволяя им красть данные, устанавливать другие вредоносные программы или шпионить за пользователями. Пакет, о котором идет речь, был загружен сегодня пользователем, который зарегистрировался несколько часов назад под ником forsenontop.
Итак, что же на самом деле происходит? В PKGBUILD-файле AUR для пакета google-chrome-stable есть директива install, указывающая на файл google-chrome-bin.install. Этот файл, в свою очередь, вызывает скрипт запуска google-chrome-stable.sh. Но если присмотреться, можно быстро заметить нечто подозрительное: ещё до запуска Chrome скрипт запускает команду Python, которая подключает внешний ресурс. Этот ресурс затем загружает и запускает вредоносное ПО при каждом запуске Chrome. Для ясности: опция "-c" указывает Python выполнить команду, переданную в виде строки непосредственно из командной строки.
Хорошая новость (если это можно так назвать) заключается в том, что пакет google-chrome-stable был доступен в AUR всего несколько часов, прежде чем было обнаружено скрытое в нём вредоносное ПО. Тем не менее, он получил несколько положительных отзывов, что говорит о том, что по крайней мере некоторые пользователи всё же его установили.
К счастью, как только отчёт поступил, администраторы AUR немедленно отреагировали и удалили пакет. Поэтому, если вы его установили, обязательно немедленно удалите его и проведите полную проверку безопасности системы. Но, честно говоря, в такой ситуации полная переустановка ОС - действительно единственный гарантированный способ исправить ситуацию и обрести душевное спокойствие.
В конечном счёте, этот последний инцидент поднимает всё тот же старый вопрос: насколько безопасно использовать программное обеспечение из AUR ? Однако следует прояснить одно: разработчики Arch не несут ответственности за содержимое AUR. Программное обеспечение, находящееся там, полностью разработано и поддерживается сообществом Arch, и команда Arch официально его не поддерживает. Тем не менее, ужесточение правил загрузки ПО туда, вероятно, разумный шаг. Последний инцидент показывает, насколько легко для полностью фейковой учётной записи, созданной всего несколько часов назад, загрузить что-то с названием вроде google-chrome-stable. И, честно говоря, для большинства людей такое название выглядит вполне законным. Не вникая в то, что внутри, многие пользователи просто устанавливают его. Глядя на эту закономерность, становится ясно, что браузеры — излюбленная цель для распространения вредоносного ПО, как и в предыдущем инциденте. Это неудивительно. Браузеры — одни из самых популярных и часто устанавливаемых приложений. Так что в следующий раз, когда соберётесь установить что-то из AUR, уделите секунду времени и проверьте, есть ли у пакета хорошая репутация. Пакет с какой-то историей даёт вам хоть какое-то спокойствие. Но что бы вы ни делали, не устанавливайте то, что было только что загружено и не имеет никакой предыстории, каким бы внушающим доверие ни звучало название.
Original source https://linuxiac.com/arch-aur-under-fire-once-more-as-malware-resurfaces/