// LINUXNEWS.DE — LINUX & OPEN SOURCE
Massiver Angriff auf das AUR: Über 400 Pakete kompromittiert
Das Arch User Repository (AUR) ist Ziel eines koordinierten Supply-Chain-Angriffs geworden. Innerhalb der letzten 24 Stunden wurden dabei offenbar insgesamt 446 Pakete (eigentlich sind es ja Paketbeschreibungen) mit Malware infiziert.
Der Angreifer modifizierte dabei die Build-Schritte der betroffenen AUR-Pakete so, dass während des Build-Vorgangs ein bösartiges npm-Paket heruntergeladen und installiert wurde. Dieses tarnte sich als atomic-lockfile in Version 1.4.2 und enthielt einen Linux-ELF-Payload namens deps. Über einen Preinstall-Lifecycle-Hook wurde die Schaddatei als Nebeneffekt des normalen Build-Prozesses automatisch beim Ausführen von npm install gestartet.
Bei deps handelt es sich um einen Linux-Credential-Stealer mit optionalen eBPF-Rootkit-Fähigkeiten, der gezielt auf Entwickler-Workstations und Build-Umgebungen ausgerichtet ist. Er hat es unter anderem auf Browser- und Electron-App-Daten, Slack, Microsoft Teams, Discord, GitHub, NPM, Vault, Docker/Podman, SSH- und VPN-Material sowie Shell-Historien abgesehen. Die Kommunikation mit dem Angreifer läuft über einen Tor-Onion-Service.
Ausdrücklich nicht betroffen sind die offiziellen Arch-Linux-Paketquellen, der Angriff beschränkt sich auf das AUR. Die Community arbeitet bereits daran, die schadhaften Commits zu entfernen und betroffene Accounts zu sperren. Wer in den letzten Tagen AUR-Pakete installiert oder aktualisiert hat, sollte vorsichtig sein. Das CachyOS-Forum stellt ein Prüfskript bereit, mit dem sich feststellen lässt, ob eines der bekannten kompromittierten Pakete installiert ist. Grundsätzlich gilt wie immer: Vor der Installation eines AUR-Pakets lohnt sich ein Blick in das PKGBUILD. Auf der Webseite ioctl.fail findet ihr eine Analyse der verwendeten Malware.
Ne Spaß, aber im “Don’t Break Debian”-Guide steht schon seit Jahrzenten, dass man aus Gründen der Sicherheit und Systemstabilität eigentlich quasi nie Fremdpakete installieren soll, und zwar immer in der Reihenfolge “Alternative in den off. Repos suchen, Flatpak/Snap/Appimage/, dann selber bauen und als letztes nur vertrauenswürdige Fremdrepos einbinden, bei den man den Maintainer verifizieren kann; und dann auch bei jedem einzelnen Update aufpassen, was gepatched wird, weil jedes Fremdrepo das System mit einem Update kaputt machen kann.
Das AUR verstößt gegen alle best practices zugunsten der Verfügbarkeit von Software, unter vanilla Arch ist es imho ok, weil man da schon über ein paar Hürden springen muss, um die AUR benutzen zu können, aber die ganzen Derivaten mit vorinstallierten yay oder graphischen AUR Helper find ich super fahrlässig. Das wird von Linux/Arch Neulingen benutzt wie die die ganzen .exe oder .msi Installer unter Windows, ist aber nur noch unsicherer, weil der Softwareanbieter nicht der Maintainer ist, sondern ein random dude, der Skripte schreibt, die mit root rechten ausgeführt werden. Da schüttelt es mich einfach.
Die Online Magazine wie Pcgameshardware mit dem Sven Bauduin und Youtuber mit gefährlichen
Halbwissen tragen massiv dazu bei, dass das AUR immer mehr Ziel von Schadsoftware wird.
Sie bewerben CachyOS mit das einfachste und beste System für Gaming und wie einfach alles zu installieren ist. Seit immer mehr Arch Derivate wie CachyOS, Manjaro, Garuda beworben wird, nehmen die Problem im AUR überhand. Weil diese Systeme einen 1 Klick Installer bieten wie Pamac, Otcopi und andere. Was Magazine wie Pcgameshardware und Youtuber verschweigen ist, dass man keine Software aus dem AUR per Klick installieren sollte, ohne vorher den Paketbuild zu lesen. Dazu sind die ganzen Umsteiger aber gar nicht imstande. Ich behaupte auch die Redakteure wie Sven Bauduin haben keinen Plan davon. Hauptsache es gibt Klicks und Aufrufe. Unverantwortlich. Aber dasselbe Muster sieht man ja auch bei TikTok mit den Influencer.
Das sind aber durchaus Dinge, die auch einem nicht ganz unbedarften Nutzer durchrutschen können, einfach weil es ein großer Aufwand ist, das bis in die letzte Abhängigkei