Hackers hebben minstens 408 packages van de Arch User Repository van malware voorzien. Een nieuwe beheerder van de AUR gebruikt de packagemanager npm om de kwaadaardige package atomic-lockfile binnen te halen. Het doel van de malware is om inloggegevens te stelen.
De Arch User Repository werkt is een verzamelplaats voor software voor Arch Linux. De AUR bevat geen echte packages, maar Pkgbuild-bestanden. Dit zijn tekstbestanden waarmee gebruikers de packages zelf kunnen compileren. Deze packages kan Arch vervolgens installeren met de packagemanager Pacman.
De aanval lijkt nog steeds gaande te zijn, meldt cybersecurityanalist Michael Taggart. Andere AUR-beheerders zijn bezig met het verwijderen van de geïnfecteerde bestanden. Volgens Socket is het kwaadaardige atomic-lockfile 134 keer gedownload.
De aanval is mogelijk door de manier waarop AUR omgaat met verlaten Pkgbuilds. Als de oorspronkelijke maker stopt met het onderhouden van het bestand, wordt het gemarkeerd als 'verweesd'. Vervolgens kan iedereen het bestand 'adopteren' en als beheerder optreden. Daarna kunnen aanvallers malware injecteren in het bestand.
Volgens berichten op de website van Arch Linux zijn er ook bestanden met een andere kwaadaardige package geïnfecteerd: js-digest. Socket meldt dat deze package inmiddels offline is gehaald.
Source: Tweakers.net