16 июля пользователи Arch Linux столкнулись с серьёзной угрозой безопасности после обнаружения трёх вредоносных пакетов в Arch User Repository (AUR). Злоумышленник разместил поддельные версии популярных браузеров - firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, - которые маскировались под легитимные сборки. Внутри этих пакетов скрывался Remote Access Trojan (RAT), способный предоставить атакующему полный контроль над заражённой системой.
Атака началась вечером 16 июля (около 20:00 UTC+2), когда в AUR был загружен первый вредоносный пакет. В течение нескольких часов злоумышленник добавил ещё два аналогичных пакета. Все они содержали ссылки на GitHub-репозиторий, откуда загружался скрипт, устанавливающий троян Chaos. Этот тип вредоносного ПО позволяет злоумышленникам удалённо управлять компьютером жертвы, красть конфиденциальные данные и даже использовать систему для майнинга криптовалюты.
Особую опасность представлял механизм заражения. При установке пакетов троян автоматически копировался в системные каталоги (например, /usr/local/share/systemd-initd), после чего регистрировался как сервис через systemd. Если у пользователя не было прав администратора, вредоносный файл сохранялся в домашней директории (~/.local/share/systemd-initd), что усложняло его обнаружение.
Кроме того, злоумышленники использовали социальную инженерию, чтобы заставить пользователей установить опасные пакеты. В описании zen-browser-patched-bin упоминалось, что сборка исправляет критические уязвимости, улучшает стабильность и устраняет утечки памяти. Это могло ввести в заблуждение даже опытных пользователей.
Администраторы AUR оперативно отреагировали на угрозу и удалили опасные пакеты вечером 18 июля (около 18:00 UTC+2). Однако почти сразу выяснилось, что атака не ограничилась тремя пакетами. Под другой учётной записью были загружены ещё четыре вредоносных пакета: minecraft-cracked, ttf-all-ms-fonts, ttf-ms-fonts-all и vesktop-bin-patched. К счастью, их также быстро заблокировали.
Подобные инциденты подчёркивают важность осторожности при установке ПО из сторонних репозиториев. Пользователям Arch Linux и других дистрибутивов, использующих AUR, рекомендуется:
- Проверять репутацию разработчика перед установкой пакета.
- Внимательно изучать PKGBUILD на предмет подозрительных строк (например, загрузки скриптов из внешних источников).
- Использовать только проверенные сборки браузеров и другого ПО.
Тем, кто мог установить опасные пакеты, настоятельно рекомендуется проверить систему на наличие следов трояна, обновить пароли и проверить активные сетевые соединения. В случае сомнений лучше переустановить систему или восстановить её из резервной копии.
Хотя администраторы AUR оперативно устранили угрозу, подобные атаки могут повториться. Поэтому пользователям следует всегда оставаться бдительными и не доверять сомнительным обновлениям, особенно если они обещают "исправления" для популярного ПО.
