Malware im Arch User Repository

Arch Linux PDF-Reader mit Malware verunreinigt

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Ein PKBUILD eines PDF-Readers für Arch Linux wurde mit einer Malware verunreinigt.
Ein PKBUILD eines PDF-Readers für Arch Linux wurde mit einer Malware verunreinigt. (Bild: Pixabay / CC0)

Arch Linux hat ein bereitgestelltes Arch User Repository PKGBUILD zurückgezogen, weil es Malware enthielt. Benutzer die einen PDF-Viewer mit der Bezeichnung "acroread" heruntergeladen haben, sollten das Paket löschen, da es kompromittiert wurde. Obwohl der Verstoß nicht als schwerwiegend eingestuft wird, stellt die Malware natürlich ein Sicher­heitsproblem auf Rechnern dar.

Das verunreinigte Benutzer-Repository von Arch Linux enthielt ein manipuliertes acroread-PKGBUILD. Dieses wurde von seinem Entwickler aufgegeben. Ein Angreifer hat das Handle "xeactor" verwendet, das Paket übernommen und modifiziert. Dadurch lädt es Tool bösartige Skripte von einem Server herunter.

Als der Angriff auffiel machte der Entwickler Eli Schwartz die Commits rückgängig, sperrte das Konto von xeactor und entdeckte und entfernte zwei weitere Pakete mit ähnlichen Änderungen. Ein weiterer Beitrag in der Arch-Linux-Mailingliste hat angemerkt, dass dieser "Angriff" eine Warnung für ein anderes Problem sei. Bennett Piater schreibt: „Ein Skript, das 'compromised.txt' im Root und in allen Home-Ordnern erstellt, sieht für mich wie eine Warnung aus."

Das Ziel der modifizierten Zeilen in acroread war es, mit Curl Skripte von einem Server herunterzuladen. Wenn das Skript erfolgreich auf einem verunreinigten PC gestartet wird, kann es den PC so konfigurieren, dass er regelmäßig neu startet. Dadurch kann es unter Umständen passieren, dass nicht gespeicherte Daten verloren gehen. Eli Schwartz hat dazu mitgeteilt, dass der Code nicht funktionieren würde. Dennoch ist das Löschen der verunreinigen Programme sehr zu empfehlen.

Giancarlo Razzolini von Arch Linux ist der Meinung, dass es eine Überreaktion ist generell davor zu warnen, dass von Benutzern bereitgestellte und daher nicht vertrauenswürdig AURs schlechten Code enthalten könnten. "Dieser Thread zieht viel mehr Aufmerksamkeit auf sich als gerechtfertigt". "Ich bin überrascht, dass diese Art der Paketübernahme und Malware-Einführung nicht öfter vorkommt", fügte Razzolini hinzu.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45406342 / Malware)