Užívateľ vystupujúci pod prezývkou xeactor modifikoval balíček s názvom acroread a vložil do neho curl skript, ktorý sťahuje a spúšťa iný skript z externej webstránky. Ten následne inštaluje software, ktorý prekonfiguruje systemd tak, aby sa spúšťal v pravidelných intervaloch. Aj keď sa tento konkrétny prípad nemusí javiť ako seriózna hrozba, ukázalo sa, že za pomoci skriptov sa dokáže vkladať škodlivý kód priamo do balíčkov v AUR a to samo o sebe predstavuje veľké bezpečnostné riziko. Hoci bolo voči všetkým prípadom zakročené, škodlivý kód vymazaný a užívateľský účet spojený s touto aktivitou zablokovaný, pri ďalšej analýze sa ukázalo že niektoré škodlivé skripty boli určené pre zber údajov a to konkrétne Machine ID, výstupné údaje z príkazov „uname -a“ a „systemctl list-units“, informácie o CPU a informácie z pacmanu. Tieto informácie boli následne odosielané do dokumentu na stránke Pastebin. Všetky balíčky, v ktorých bol nájdený malware sú acroread 9.5.5-8, balz 1.20-3 a minergate 8.1-2. Kolujú rôzne špekulácie o dôvodoch prečo k infikovaniu škodlivými skriptami došlo. Zmienený užívateľ xeactor vraj odoslal do repozitára niekoľko balíčkov, ktoré mali za účel ťažiť kryptomeny a tak sa predpokladá, že práve ťažba kryptomien mohla byť najpravdepodobnejší účel.
Používateľom Arch Linuxu sa odporúča zvážiť, či užívateľmi spravované repozitáre, ktoré používajú sú dôveryhodné. Tento problém je však výstrahou nie len pre používateľov Arch Linuxu, ale pre všetkých používateľov Linuxu, ktorí pristupujú k neovereným, neoficiálnym, respektíve užívateľmi spravovaným repozitárom a iným zdrojom softvéru.
Zdroj:
https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/
