Am 16. Juli wurden im AUR (Arch User Repository) von Arch Linux drei Bauanleitungen hochgeladen, die den Trojaner CHAOS-RAT enthielten. Dabei handelt es sich um einen Remote-Access-Trojaner, der zum Hoch- und Herunterladen von Dateien, zum Ausführen von Befehlen und zum Öffnen einer Reverse Shell verwendet werden kann, mit dem Ergebnis, dass der Angreifer Zugriff auf das gesamte Dateisystem erlangen kann.
CHAOS-RAT installiert
In der PKGBUILD-Datei der jetzt hochgeladenen Bauanleitungen war ein Quelleneintrag namens patches hinterlegt, der auf ein inzwischen deaktiviertes GitHub-Repository des Angreifers verwies, aus dem ein Script geladen wurde, das die Malware installierte.
Die betroffenen Pakete sind:
- librewolf-fix-bin
- firefox-patch-bin
- zen-browser-patched-bin
Am 18. Juli wurden die Pakete aus dem AUR entfernt, wie einem Eintrag auf der Mailingliste zu entnehmen ist. Wer die Pakete zwischen dem 16. und dem 18. Juli installiert hat, sollte diese entfernen und sofort prüfen, ob eine verdächtige ausführbare Datei namens systemd-initd auf dem Gerät läuft, die sich möglicherweise im Ordner /tmp befindet. Ist dies der Fall, muss diese Datei umgehend entfernt werden. Auch ungewöhnlicher Netzwerkverkehr könnte auf das Vorhandensein der Malware hinweisen.
Verantwortung liegt beim User
Das AUR ist ein Repository, in dem Arch Linux-Benutzer Skripte zum Erstellen von Paketen (PKGBUILDs) veröffentlichen können, um den Prozess des Herunterladens, Erstellens und Installierens von Software zu automatisieren, die nicht im Lieferumfang des Betriebssystems enthalten ist. Das AUR verfügt über keinen formalen Überprüfungsprozess für neue oder aktualisierte Pakete, sodass es in der Verantwortung des Benutzers liegt, den Code und die Installationsskripte zu überprüfen, bevor das Paket erstellt und installiert wird.
Nicht das erste Mal
Der aktuelle Vorfall ist nicht das erste Mal, dass Malware im AUR zu finden war. Besonders gut dokumentiert ist ein Fall aus dem Jahr 2018, als ein Benutzer das verwaiste Paket acroread sowie zwei weitere Bauanleitungen übernahm und diesen bösartigen Code hinzufügte.
Soweit ich weiß ist es aufgeflogen, weil der Malwareautor die Pakete bei Reddit aktiv beworben hat. Wenn er nun einfach die Fresse gehalten hätte, hätten schon einige kackn00bs mit Endeavour, bei “yay librewolf” auf das paket gepointet und es wäre erst viel später mit mehr Schaden aufgefallen.
Warum der Hass? Immerhin war _jeder_ irgendwann einmal ein “kackn00b”. Viele sind es sogar noch, nur ohne es zu wissen. Zum Beispiel in ihrer Sozialkompetenz. Und es gibt durchaus Leute, die ihre Maschinen einfach nur zur zum Arbeiten benutzen möchten, ohne gleich Linux als Selbstzweck betreiben zu wollen.
Da man nicht editieren kann: Ein “zur” ist zuviel, bitte wegdenken.
AUR heißt ausgeschrieben Arch Linux User Community Repository, weil es nicht maintaint wird und die Sicherheit unterliegt eben auch nur der Community. Eigentlich klappt das, von Ausnahmen mal abgesehen, erstaunlich gut, solange man diese Tatsache auch berücksichtigt.
Hier mal ein Link zu der Sicherheitshinweisen:
https://wiki.archlinux.de/title/AUR_Sicherheitshinweise
Im AUR gibts keine Pakete. Nur Bauanleitungen für Pakete. Die Idee ist eigentlich, dass der Benutzer diese Anleitung liest, und aus der Vorlage sein eigenes Paket macht. Das wurde halt automatisiert (wer will schon lesen?) und da bauen jetzt Dienste vollautomatisch Pakete nach diesen Bauanleitungen. Dass dies ein potenzielles Angriffstor ist, ist jedem, der das Prinzip verstanden hat, vollständig klar. AUR ist ja nicht per Default deaktiviert, um den Nutzer zu ärgern, sondern weil…. ja weil damit ein Risiko verbunden ist.
This. 100% this. ^^
Ich nutze es sehr gerne um zu schauen wie gewisse Dinge gebaut wurden wenn deren README nicht so dolle sind.
Ebenso benutze ich es wenn offizielle Maintainer ihre eigene Software dort so bereitstellen und NOCH nicht im Main-Stack von Arch sind oder wollen.
Aber bis heute habe ich kein Paket aus dem AUR ungeprüft installiert. Und genau das ist ja eigentlich die Mentalität hinterm AUR. Denke ich. 😀
Genauso wirds gemacht. Arch ist halt nichts für Neulinge. Es hat schon seinen Grund wieso Arch keinen GUI installer hat. Leider vermitteln Distris wie CachyOS, Manjaro, Endavour einen anderen Eindruck und überfluten die Arch-Foren 🙂
Man sollte schon auch Skripte lesen können, ansonsten kann man die PKBUILDs nicht prüfen. Diese GUI-Klick-Installer haben zumindest die Tendenz, dass niemand mehr die PKBUILDs prüft und erhöhen damit das Risiko, dass schadhafte Software im AUR platziert wird. Das AUR ist nichts für Klickibunti.
Zumindest für EndeavourOS, das ich u.a. auch nutze, möchte ich das etwas relativieren: Man kann natürlich pacman-aur und yay installieren und nutzen (wie bei jeder Arch-basierten Installation), muss es aber nicht und wird auch nicht dazu aufgefordert. Einen grafischen Klickibunti-Installer wie Pamac bei Manjaro gibt es auch nicht – bewusst. Weil man eben wissen sollte, was man tut. Und lesen können sollte.
Die meisten Problemchen werden zudem im freundlichen EndeavourOS-Forum abgehandelt. Sicher verläuft sich der eine oder andere auch mal ins Arch-Forum, wird dort aber recht schnell abgekanzelt. Schade eigentlich, dass oft Toxizität und Elitarismus über freundliches Miteinander gewinnen. Zusammen geht doch alles viel besser!
“Sicher verläuft sich der eine oder andere auch mal ins Arch-Forum, wird dort aber recht schnell abgekanzelt.”
Das stimmt so ganz und gar nicht. Im Arch-Forum herrscht ein sehr freundlicher Umgangston. Allerdings solltest du als EndeavourOS User auch das dazugehörige EndeavourOS Forum ansteuern, dafür ist es ja schließlich auch da.
Es gibt diskrete Unterschiede zwischen EndeavourOS und Arch.
> Es gibt diskrete Unterschiede zwischen EndeavourOS und Arch.
Nach Jahren mit (u.a.) Arch und ArcoLinux ist mir das durchaus bewusst. 😉
Aber mal im Ernst: Einer ohne den anderen wäre weniger. Arch ist fein für den, der tief einsteigen will und EndeavourOS bietet einen erleichterten Einstieg in die Arch-Welt.
EndeavourOS könnte es ohne Arch nicht geben, und Arch profitiert von der weiteren Verbreitung und mehr Usern, die “sanfter” in die ArchWelt kommen. Immerhin ist es der solide Unterbau schlechthin, und wir haben das beste Linux-Wiki der Welt.
Ich sehe es einfach als »Win-Win«. Alle profitieren, zusammen sind wir stark und es gibt wenig Grund zu »Glaubenskriegen«.
Wegen des modularen Aufbaus dient Arch Linux vielen Derivaten als Unterbau. Das ist auch prima so.
Du hast aber das Arch-Forum mit Begriffen wie Toxizität und Elitarismus verunglimpft und hier muss ich Einspruch erheben und sagen, dass stimmt einfach nicht. Es geht dort eigentlich immer hilfsbereit, freundlich und sachlich zu.
Vor nicht allzu langer Zeit war besonders das deutsche Arch-Forum ein sehr unfreundlicher Ort.
Also kann da jeder einfach alles reinschmeißen ohne das etwas überprüft wird? Scheint mir ziemlich riskant zu sein.
Es ist vor allen sehr praktisch und erleichtert Entwicklern den Weg abseits des Mainstreams Software an Mann und Frau zu bringen. Momentan beherbergt das AUR 92730 PKBUILDs.
Gemessen daran, dass die Sicherheit allein der Community der User unterliegt, ist das tatsächliche Risiko eigentlich recht gering. Was natürlich nur solange funktionieren kann wie sich die Anwender auch der Gefahren bewusst sind und entsprechende Sorgfalt walten lassen.
Bei den PKBUIDs die jetzt zur Sprache stehen, hätte schon allein vom Namen her beim Anwender alle Glocken läuten müssen.
Fixes und Paches von Firefox und Librewolf werden nicht extra herausgegeben, die wandern automatisch in die normalen updates.
So. Die Noobfrage des Tages: ich nutze Octopi mit ChachyOS zur Paketaktualisierung. Ich nehme mal an, ich bin solange nicht betroffen, wie ich nicht direkt aus dem AUR etwas lade, richtig?
2 der 3 genannten Dateien sind ohnehin nicht relevant bei mir.
Der Firefox wird übers Repo aktualisiert.
Ich denke ich kenne die Antwort 🙂
ChachyOS kannte ich zwar nicht, aber eine Schnelle Google Suche ergibt, dass auch in ChachyOS AUR per Default deaktiviert ist. Solltest du es nicht manuell aktiviert haben, bist du absolut sicher.
Danke. Habe ich nicht aktiviert. Hatte in der Vergangenheit schon ein paar infos über das AUR gelesen und grundsätzlich die Finger von gelassen.
Ausser eine Druckertreiber Installation. Da hab ich nach Anleitung was geladen.