Aν χρησιμοποιείτε το AUR, ρίξτε μια ματιά παρακάτω.
Η Sonatype (μαζί με αρκετούς ανεξάρτητους ερευνητές) εντόπισε μια supply-chain επίθεση που βαφτίστηκε “Atomic Arch”. Το κόλπο είναι απλό αλλά αποτελεσματικό: οι επιτιθέμενοι βρήκαν ορφανά (orphaned) πακέτα του AUR, τα υιοθέτησαν με ψεύτικους λογαριασμούς και έκαναν ένα commit που πειράζει το PKGBUILD / .install script.
Τι πρόσθεσαν; Μια γραμμή τύπου:
npm install atomic-lockfile
Έτσι, μόλις χτίζεις/εγκαθιστάς το πακέτο, κατεβαίνει το κακόβουλο npm πακέτο atomic-lockfile. Αυτό τρέχει ένα binary στη φάση preinstall, με συμπεριφορά τύπου rootkit και μαζεύει SSH keys, GitHub tokens, browser cookies κλπ.
Οι πρώτες αναφορές μιλούσαν για “πάνω από 20”, αλλά γρήγορα φάνηκε ότι η ιστορία ήταν πολύ μεγαλύτερη. Αυτή τη στιγμή έχουμε 353 επαληθευμένα ονόματα πακέτων και αναφορές για “400+ κακόβουλα commits”
Τα επίσημα repos του Arch (core/extra/community) ΔΕΝ επηρεάστηκαν. Αυτά είναι υπογεγραμμένα από τους Arch packagers. Όλο το θέμα αφορά αποκλειστικά το AUR.
Καλή πρακτική
Όταν κάνουμε εγκατάταση πακέτων από το AUR διαβάζουμε ΠΑΝΤΑ το PKGBUILD πριν χτίσουμε. Είναι μια καλή συνήθεια προς υιοθέτηση. Τώρα με την επέλευση της AI / Bots κλπ θα δούμε κι άλλα τέτοια περιστατικά υποθέτω.
Πηγές:
https://lists.archlinux.org/hyperkitty/list/aur-general@lists.archlinux.org/latest?count=200