- Новые вредоносные пакеты
В дополнение к ранее выявленным вредоносным пакетам (firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin) в AUR появились ещё подозрительных пакетов, включая:google-chrome-stablechromeиchrome-bin(аналогичные по функционалу)ttf-mac-fonts-all,ttf-ms-fonts-allиgromit.
- Механизм работы вредоноса
Вредоносные пакеты содержали скрипты, которые:- Загружали и исполняли код с внешних серверов .
- Устанавливали трояны (например, Spark или Chaos), дающие злоумышленникам полный контроль над системой, включая удалённый доступ, кражу данных и майнинг криптовалюты.
- Маскировались под легитимные пакеты, такие как
librewolf-binилиzen-browser-bin.
- Действия сообщества и администраторов
Заражённые пакеты оперативно удалялись (например,google-chrome-stableбыл удалён через несколько часов после публикации), но злоумышленники быстро заменяли их новыми под другими именами. Администраторы AUR и пользователи активно выявляли угрозы, проверяя PKGBUILD и исходные коды. - Рекомендации пользователям
- Тщательно проверять PKGBUILD и комментарии перед установкой пакетов из AUR.
- Избегать пакетов от непроверенных maintainers (например, с нулевой репутацией).
- Мониторить запущенные процессы (например,
systemd-initd) на предмет подозрительной активности.
- Контекст проблемы
AUR — это репозиторий, управляемый сообществом, где пакеты не проходят строгой проверки, в отличие от официальных репозиториев Arch Linux. Это делает его удобным, но потенциально рискованным источником ПО.
Если вы могли установить один из этих пакетов, рекомендуется проверить систему на наличие следов компрометации (например, через анализ процессов и файлов в /tmp или домашнем каталоге). Для дополнительной безопасности можно использовать инструменты вроде Kaspersky Virus Removal Tool для проверки подозрительных скриптов.
Скачать kvrt_linux с GalaxyData
Развернуть виртуальный сервер на Arch Linux
Ссылки по теме:
