Oliver Peters / 123rf.com
Das Arch User Repository (AUR) ist Ziel einer groß angelegten Malware-Kampagne geworden. Angreifer übernahmen zahlreiche verwaiste Paketbeschreibungen ergänzten diese um schädliche Komponenten und veröffentlichten manipulierte Updates.
Die Arch-Maintainer reagierten mit der Entfernung betroffener Pakete sowie der Sperrung verdächtiger Accounts. Ausgenutzt wurde ein Mechanismus, der es Nutzern erlaubt, nicht mehr gepflegte Pakete zu übernehmen. Die Angreifer fügten dabei zusätzliche npm-Abhängigkeiten ein, über die letztlich eine Schadsoftware auf die Systeme gelangte. Nach bisherigen Erkenntnissen handelt es sich um einen Credential-Stealer, der Zugangsdaten ausliest, an Dritte übermittelt und weitere Schadfunktionen nachladen kann.
Der Vorfall unterstreicht die Risiken des AUR. Da die dort veröffentlichten PKGBUILDs nicht offiziell geprüft werden, tragen Nutzer selbst die Verantwortung für deren Kontrolle. Besonders problematisch ist die weitverbreitete Nutzung von AUR-Helpern, die Installationen automatisieren und dazu verleiten können, Änderungen ungeprüft zu übernehmen.
