Kurzzeitig Schadcode im User Repository von Arch Linux

Ein Nutzer hat manipulierte PKGBUILDs in das Arch User Repository hochgeladen. Mittlerweile ist das Community-Repository bereinigt.

In Pocket speichern vorlesen Druckansicht 116 Kommentare lesen
Kurzzeitig Schadcode im User Repository von Arch Linux

(Bild: Comfreak)

Lesezeit: 1 Min.

Nach derzeitigem Kenntnisstand waren drei PKGBUILDs im Arch User Repository kompromittiert und enthielten einen Downloadlink für Schadcode. Darunter die PDF-Anwendung "acroread", dem unter Linux gängigen Namen für das Paket mit dem Adobe Reader. Inzwischen wurden die betroffenen PKGBUILDs entfernt.

Namensgebend verwalten Nutzer von Arch Linux das Arch User Repository (AUR). Dementsprechend warnen die Arch-Entwickler von jeher ausdrücklich davor, dass man Software von dort auf eigenes Risiko herunterlädt.

Der Nutzer "xeactor" soll die PKGBUILDs hochgeladen haben. Mittlerweile wurde sein Account gelöscht. Neben acroread 9.5.5.-8 waren noch balz 1.20-3 und minergate 8.1-2 betroffen. Alle drei PKGBUILDs sollen in der gleichen Art und Weise modifiziert gewesen sein. Sie enthielten einen Downloadlink für Schadcode, der Daten über Computer und Software ausgelesen und diese auf Pastebin hochgeladen haben soll.

[Update, 17.07.18]: Das AUR enthält keine Pakete, sondern Shellskripte, die das Herunterladen und Kompilieren von Software steuern. Der Downloadlink für die Schadsoftware war in diesen Skripten enthalten. (des)