Infizierte Pakete im AUR: firefox-patch-bin, librewolf-fix-bin and zen-browser-patched-bin - Pakete enthalten Malware

Quote from Kyrindorx

Ich hab leider keine Ahnung wo wir sowas verwalten ...

Ich habe deinen Beitrag hier in den Security-Bereich geschoben. 😉

Danke für diese wichtige Info!

Wichtig wäre vielleicht auch noch zu wissen, dass die betroffenen Pakete bereits aus dem AUR entfernt wurden. Es besteht also aktuell keine Gefahr mehr.

Also allein die Namen der Pakete sind ja dermaßen untypisch für Linux, dass muss ja auffallen.

Quote from Toadie

Also allein die Namen der Pakete sind ja dermaßen untypisch für Linux, dass muss ja auffallen.

sehe ich zwar ähnlich, dennoch scheinen die Pakete dem Namen und der Verheißung nach eine ganz bestimmte Zielgruppe anzusprechen

Ja da hat man es auf die Newbies und uninteressierten abgesehen

Mich würde interessieren, wie oft die Pakete bereits installiert wurden. Glaube nicht, dass jemand permanent das AUR nach neuen Paketen absucht, um dann direkt zu installieren. Dafür war die Zeit, die die Pakete online waren, sicher auch viel zu kurz.

Mal wieder bei CB "geklaut":

Linux-News der Woche: Schlankeres Ubuntu für SBC, Schadsoftware im AUR.

Kommende Ubuntu-Abbilder für den Raspberry Pi werden schlanker. Schadsoftware wurde im AUR entdeckt und gebannt. CUDA für RISC-V.

www.computerbase.de

Quote from KP59 (Ex-Scheinich)

Mal wieder bei CB "geklaut":

Ist mir persönlich Schnuppe . Ich kann beim besten Willen keine 1000 Seiten überwachen, um eine Information über Sicherheitslücken zu bekommen. Also danke ich Dir, dass Du das mit uns geteilt hast.

Infizierte Pakete im AUR: Wie funktioniert das genau ?

Entweder ist der Schadcode schon eingepflanzt oder es sind Mechanismen im Code integriert, um diesen automatisch herunterzuziehen und automatisch zu installieren. In dem Fall, hat jemand schlicht Interesse daran, zuzuschauen welche Bank Du nutzt, welche Seiten Du verwendest und ggf. wenn Du gerade nicht an Deiner Kiste sitzt, auch mal ein wenig Deinen Rechner zu durchstöbern. Remote-Access ist nichts anderes als Fernzugriff, ähnlich zu Teamviewer oder Rustdesk.

Im AUR (Arch User Repository) kann wie der Name "User"schon sagt, Hinz und Kunz sein Zeugs hochladen, ohne großartige Prüfung, und eben auch unbedarfte User können sich das herunterladen. Sicherheitswarnungen sind ja keine Gesetze, nur Empfehlungen. Ich vermute mal, dass man das primär hochgeladen hat, um dann auf bestimmten Seiten dem Opfer zu sagen, dass es dieses Paket braucht.

Moin!

Gestern wurde über "Malware in Arch-linux-aur-packages" berichtet und ich frage mich, wenn Linux seine Quellen aus einen "Repositories" zieht,
was hindert es einen darin Schadcode zu verbreiten ? Aus meiner Sicht scheint das generell der direkte Weg, Schadcode auf Linuxrechner zu bekommen, sofern man die gängigen "Repositories" infiltrieren kann.

Was meint ihr ?

Das scheint nicht so einfach zu sein, vor einiger Zeit gab es ja den Vorfall mit der Packprogramm Bibliothek, irgendwas mit z, in die Schadcode eingebaut wurde. Dafür hat sich aber extra ein "Entwickler" zunächst monatelang das Vertrauen erschlichen. Es ist aber trotzdem aufgefallen.

Ich denke es ist wie bei jeder Software, nimmst du ein ganz seltenes Programm was vielleicht nur 1000 Leute weltweit einsetzen so ist die Warscheinlichkeit der Infektion höher, nimmst du aber ein Programm was massenhaft weltweit benutzt wird z.B. grub oder sowas, dann ist es höchst unwarscheinlich das hier unbemerkt irgendwas schadhaftes eingebaut werden kann.

imho

Ein Paket einfach so zu infizieren ist relativ unmöglich denn die Pakete werden ja mit einer Prüfsumme versehen, diese wird vor der Installation überpruft.

Damit wird sichergestellt dass ein Paket so auf dem System installiert wird wie der Maintainer es frei gegeben hat.

Ebenso wird die Tabelle mit den Prüfsummen so gegen Bearbeitung geschützt.

Wenn so etwas passiert wie im xz Fall, dass ein Entwickler sich über lange Zeit um ein Paket kümmert um es zu übernehmen und dann Schad Code darüber zu verbreiten, dagegen ist man fast nicht geschützt. Nur andere Entwickler können dass überprüfen, aber die Gefahr dabei erwischt zu werden ist relativ hoch. Gerade bei häufig genutzten Projekten.

Man darf hier aber auch nicht außer Acht lassen, dass es wohl um das AUR ging. Das AUR ist ein Community-Repository, in dem eigentlich jeder was hochladen und anderen zur Verfügung stellen kann. Das ist kein kuratiertes Repo einer bestimmten Distro. Im Pirnzip ist das ein offener Sammelpool in den jeder seine Bit-Fischlein einsetzen darf und man angelt sich dann heraus, was man haben will.

Quote from Stardenver

Man darf hier aber auch nicht außer Acht lassen, dass es wohl um das AUR ging. Das AUR ist ein Community-Repository, in dem eigentlich jeder was hochladen und anderen zur Verfügung stellen kann. Das ist kein kuratiertes Repo einer bestimmten Distro. Im Pirnzip ist das ein offener Sammelpool in den jeder seine Bit-Fischlein einsetzen darf und man angelt sich dann heraus, was man haben will.

Naja , ein fremdes Repositories kann man ja auch anlegen. Unter GuideOS werden ja auch Programmteile eingepflegt. Wenn man jetzt an die Repositories heran käme, wäre der Weg frei zur Verbreitung.

Ich habe die Diskussion mal hier hineinverschoben. Auch die andere Diskussion ist nun hier zu finden.

Quote from DenalB

Ich habe die Diskussion mal hier hineinverschoben. Auch die andere Diskussion ist nun hier zu finden.

Mit einen verständlicheren Titel wäre das überflüssig gewesen.

Sind sie eigentlich nicht, siehe mein Vorheriger Post. Man kann zwar packete bearbeiten diese bestehen dann aber nicht den Checksum Test und werden nicht installiert.

Dass ein Repositorys "übernommen" wurde ist glaub ich erst einmal passiert, hier wurde kurzzeitig eine infizierte LiveIso Verteilt.

Man sollte aber natürlich nicht jedes Repo einfach hinzu fügen, denn Dass ganze trifft nur auf Offizielle Repos zu.

Das Thema war heute auch bei "LinuxNews" zu lesen:

Erneut Malware im AUR von Arch Linux

Nicht ganz unschuldig sind aber auch die ganzen AUR-Helper. Früher war es üblich, mit makepkg die Pakete händisch zu erstellen und dabei auch einen Blick in die Bauanleitung (PKGBUILD) zu werfen.

Heute wird einfach der AUR-Helper bemüht und die Installtion geht ganz easy, fühlt sich dann wie ein Repository - ist es aber nicht.