Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Descobriu-se que o Arch Person Repository contém aplicativos maliciosos.
- Duas vezes no período de uma semana isso foi descoberto.
- Os usuários são avisados para ficarem atentos, mas existem outras maneiras mais fáceis.
Pesquisadores da empresa de gerenciamento da cadeia de suprimentos de software program Sonatype descobriram que o Arch Person Repository continha cerca de 1.500 pacotes maliciososdisse a empresa em uma postagem no weblog atualizada em 12 de junho.
“Continuamos incentivando todos os usuários de pacotes AUR a revisarem todos PKGBUILD e alterações no script de instalação durante a atualização, especialmente durante esse período. Se você notar commits suspeitos em um pacote que você usa, entre em contato com a equipe do Arch através da lista de discussão aur-general com mais informações”, disse a equipe do Arch em um comunicado. breve declaração.
Isso não é um bom presságio para um repositório que foi criado para aumentar drasticamente a quantidade de software program disponível para usuários do Arch (e derivados do Arch).
Além disso: Archcraft é uma distribuição sólida e tremendous rápida para qualquer pessoa pronta para ir além do Linux iniciante
O AUR é essencialmente uma forma de os desenvolvedores disponibilizarem novos softwares aos usuários do Arch Linux antes de serem oficialmente adicionados aos repositórios do Arch. É uma coleção de descrições de pacotes (chamadas PDKGUILDs) que tornam possível compilar um pacote a partir do código-fonte usando o makepkg ferramenta e, em seguida, instale o pacote através do gerenciador de pacotes do Arch Linux, pacman.
O problema do AUR é que qualquer pessoa pode fazer add de pacotes para ele, e um grupo de usuários confiáveis é encarregado de manter o controle sobre o que acontece.
Você pode ver onde isso vai dar, certo?
Think about que você é um daqueles usuários confiáveis voluntários encarregados de verificar cada aplicativo enviado a um repositório. Agora, think about que você é um malfeitor querendo injetar malware nesse repositório. Você ofusca o malware, envia o aplicativo como legítimo e presume que os usuários confiáveis não terão tempo para vasculhar cada linha do seu código. O usuário confiável faz uma verificação rápida do seu código e não vê a ofuscação.
Blamo! Você acabou de adicionar um aplicativo malicioso ao AUR.
No espaço de uma semana, cerca de 1.500 aplicativos maliciosos entraram no repositório, o que significa que algo precisa mudar; caso contrário, os usuários do Arch (e baseados no Arch) não poderão confiar no AUR. Não houve relatos sobre o que esses aplicativos maliciosos fazem, nem quem os enviou.
Também: Eu uso Linux há 30 anos – restam 4 frustrações, incluindo 2 que me levam de volta ao MacOS
Enquanto isso, tenho algumas recomendações para usuários do Arch.
Desinstalar, desinstalar, desinstalar
Primeiro, você precisa desinstalar tudo o que instalou do AUR e torcer para que não seja tarde demais. No momento, não tenho ideia de quão ruim é o código malicioso que entrou no AUR, então não há como dizer os danos que ele poderia ter causado ou causou ao(s) seu(s) sistema(s).
Felizmente, para remover o pacote, você pode usar o pacman assim:
sudo pacman -R NOME DO PACOTE
Onde PACKAGENAME é o pacote a ser removido.
Depois de fazer isso, verifique se o pacote foi removido com o comando:
pacman-Q
O comando acima listará todos os pacotes instalados em seu sistema.
Pare de usar o AUR
Em seguida, pare de usar o AUR, pelo menos até que os desenvolvedores e usuários confiáveis possam encontrar uma solução para evitar esse problema. Depois de cuidar disso, considere o AUR fora dos limites até que os desenvolvedores encontrem uma maneira de torná-lo seguro.
Depois de remover todos os pacotes e parar de usar o AUR, faça um favor a si mesmo e use uma ferramenta como o Wireshark para testar qualquer tráfego de saída suspeito. Se você encontrar algo que não reconhece, procure. Se for desconhecido ou conhecido por estar relacionado a código malicioso, bloqueie o tráfego de saída ou reinstale o sistema operacional.
Não se arrisque.
Adote um gerenciador de pacotes common
No lugar do AUR, instale o Flatpak e instale os aplicativos a partir dele. Com Flatpak, você terá vários aplicativos para instalar, então não sentirá tanta falta do AUR quanto pensa. Você pode instalar o Flatpak com o comando:
sudo pacman -S flatpak
Após a instalação, adicione o Flathub repositório com:
flatpak adição remota –if-not-exists –user flathub https://dl.flathub.org/repo/flathub.flatpakrepo
Você pode então instalar o que precisar, assim:
instalação flatpak PACKAGENAME
Onde PACKAGENAME é o nome de um pacote encontrado no Flathub. Você descobrirá que existem aplicativos no Flathub que não estavam disponíveis no AUR (até mesmo aplicativos proprietários como Spotify e Slack).
Além disso: depois de 30 anos com Linux, dei uma likelihood ao Home windows 11 – e encontrei 9 problemas claros
É uma pena que maus atores possam arruinar algo para todos. Embora o Arch Linux seja um sistema operacional extremamente seguro, o AUR é uma história diferente. Nunca fui de depender do AUR (na verdade, raramente o uso), então isso não me afeta tanto quanto pode afetar aqueles que o fazem.
Para corrigir esse problema, sugiro que o AUR exact de um sistema muito melhor para verificar a integridade do software program enviado. Sei que alguns considerariam isso uma afronta ao que a AUR tem sido durante anos, mas se questões como esta continuarem, a AUR acabará por se tornar um deserto árido.
Quase 2.000 aplicativos maliciosos em uma semana não são nada dignos de atenção. E mesmo que os desenvolvedores consigam emitir um aviso sempre que aplicativos maliciosos forem descobertos, em algum momento ninguém confiará no AUR, então algo dramático precisa mudar.
Até este tópico do Reddit de há cinco anos ilustra que este problema é uma preocupação há muito tempo. Também destaca o fato de que recai sobre o usuário a responsabilidade de verificar tudo o que instala. Para isso, eu diria, como você vai atrair novos usuários se espera-se que eles inspecionem o software program que desejam usar em busca de códigos maliciosos? A resposta… Você não pode.
