Die Sicherheitsprobleme im Arch User Repository (AUR) haben sich deutlich zugespitzt. Nachdem zunächst rund 400 kompromittierte Pakete gemeldet worden waren, ist die Zahl der betroffenen Pakete inzwischen auf knapp 2000 angestiegen.
Noch am selben Tag, an dem Arch Linux Entwarnung nach einer ersten großen Bereinigungsaktion gab, bei der über 1.500 Schadpakete entfernt und die zugehörigen Accounts gelöscht worden waren, begann eine neue Angriffswelle. Ein Nutzer meldete auf der Arch-Linux-Mailingliste eine große Zahl neu infizierter Pakete mit verschleiertem Code.
Geänderter Fokus
Einige Stunden später berichtete der Entwickler Nicolas Boichat von einer weiteren, noch raffinierteren Welle: Die Angreifer setzen nun ein kleines, verstecktes Programm ein, das nach der Installation ausgeführt wird und schwer zu erkennen ist. Es weist das System an, in den temporären Ordner zu wechseln und von dort still JavaScript-Code aus dem Internet herunterzuladen und auszuführen. Während die erste Welle primär auf Credential-Diebstahl ausgelegt war, enthalten manche der neueren Pakete lediglich russischsprachige Nachrichten.
Sperren oder abschalten
Diskutiert wird inzwischen, das AUR vorübergehend in den Read-only-Modus zu versetzen. Viele schlagen sogar eine vollständige Abschaltung vor, bis die Lage geklärt ist. Grundsätzlich stellt sich für die AUR-Entwickler die Frage, wie das Repository künftig betrieben werden soll. Zumindest ein gewisses Maß an menschlicher Überprüfung scheint unumgänglich, um solche Vorfälle in Zeiten von KI künftig zu verhindern.