Código malicioso foi encontrado e excluído posteriormente de 3 pacotes AUR acroreade blaz( minergatepor exemplo: acroread PKGBUILD detail ). Ele foi encontrado em um commit lançado por um usuário malicioso, alterando o proprietário do pacote AUR órfão e incluindo um curlcomando malicioso.
O curlcomando baixará o script bash principal xe depois o segundo script u( u.sh) para criar um serviço systemd e usar uma função para coletar alguns dados do sistema (dados não confidenciais), mas os scripts podem ser modificados pelo invasor para serem carregados sequencialmente.
Na prática nem todos os usuários têm a capacidade de verificar o PKGBUILD antes de construir qualquer pacote em seus sistemas por alguns motivos (requer algum conhecimento, leva mais tempo etc...). Para entender como funciona, baixei e carreguei os 2 scripts bash nesta página do pastbin .
Qual é a maneira mais fácil de verificar se há código malicioso em um pacote AUR?
segurança nua: Outra comunidade Linux com problemas de malware
Pacotes de software malicioso encontrados no repositório de usuários do Arch Linux
A questão é que pode não ser tão fácil para um usuário inexperiente verificar o código-fonte . No entanto, com os contrapontos naturais, também pode-se argumentar que o Arch Linux não é a distribuição Linux mais adequada para usuários inexperientes.
O(s) wiki(s) do Arch, ajudantes do AUR e a maioria dos fóruns online alertam sobre os perigos de tais repositórios/AUR, e que eles não devem ser confiados cegamente. Alguns ajudantes também avisam que você deve ler os PKGBUILDs antes de instalá-los.
Como recomendação, é sempre aconselhável usar trizen ou
aurman(ou utilitários semelhantes) em vez deyaourt(listados como problemáticos/descontinuados), pois eles oferecem ao usuário a oportunidade de inspecionar listas de pacotes/dif. Também ajuda a olhar o histórico de contribuições ao pegar ou atualizar pacotes.Usuários casuais não devem usar esses repositórios como sua principal fonte de pacotes quando você tem pacotes binários oficiais como alternativa. Se você tiver que usar o AUR, você pode pesquisar nos fóruns do Arch e/ou listas de discussão para relatórios de problemas. No entanto, embora seja uma visão excessivamente otimista, parece que a comunidade Arch inspeciona regularmente os pacotes, como foi o caso aqui.
Você também pode tentar usar
maldetectpara pesquisar o código-fonte baixado por assinaturas de malware conhecidas, no código-fonte baixado, no entanto, a probabilidade de pegar algo com código personalizado é nula.maldetectgeralmente é mais adequado para capturar malware em código PHP.PS No meu último trabalho, usei por um curto período de tempo
dhcpdpacotes compilados a partir do código-fonte, e estava usando há anos pacotes do FreeRadius compilados do código-fonte (porque a versão do Debian era obsoleta).No primeiro caso, fiz uma verificação superficial do código-fonte do github nas duas vezes em que o baixei. No segundo caso, acompanhei ativamente o fórum de usuários do FreeRadius, o fórum do github e as atualizações de código. Eu também tinha um ambiente de teste/quarentena. (Até consegui enviar um importante relatório de bug encontrado no meu ambiente de teste).
Indo direto ao ponto, se você estiver fazendo algum trabalho sério com os pacotes de origem instalados, geralmente envolve muito mais trabalho do que os pacotes oficiais compilados oferecidos pela distribuição.
PS2. Normalmente, qualquer administrador experiente do Unix dirá a você executar diretamente scripts/código-fonte diretamente de origem
curlsem nenhum tipo de inspeção visual, é uma ideia muito ruim do ponto de vista da segurança.