Suchen

Malware im Arch User Repository Arch Linux PDF-Reader mit Malware verunreinigt

Autor / Redakteur: Thomas Joos / Peter Schmitz

Arch Linux hat ein bereitgestelltes Arch User Repository PKGBUILD zurückgezogen, weil es Malware enthielt. Benutzer die einen PDF-Viewer mit der Bezeichnung "acroread" heruntergeladen haben, sollten das Paket löschen, da es kompromittiert wurde. Obwohl der Verstoß nicht als schwerwiegend eingestuft wird, stellt die Malware natürlich ein Sicher­heitsproblem auf Rechnern dar.

Firmen zum Thema

Ein PKBUILD eines PDF-Readers für Arch Linux wurde mit einer Malware verunreinigt.
Ein PKBUILD eines PDF-Readers für Arch Linux wurde mit einer Malware verunreinigt.
(Bild: Pixabay / CC0 )

Das verunreinigte Benutzer-Repository von Arch Linux enthielt ein manipuliertes acroread-PKGBUILD. Dieses wurde von seinem Entwickler aufgegeben. Ein Angreifer hat das Handle "xeactor" verwendet, das Paket übernommen und modifiziert. Dadurch lädt es Tool bösartige Skripte von einem Server herunter.

Als der Angriff auffiel machte der Entwickler Eli Schwartz die Commits rückgängig, sperrte das Konto von xeactor und entdeckte und entfernte zwei weitere Pakete mit ähnlichen Änderungen. Ein weiterer Beitrag in der Arch-Linux-Mailingliste hat angemerkt, dass dieser "Angriff" eine Warnung für ein anderes Problem sei. Bennett Piater schreibt: „Ein Skript, das 'compromised.txt' im Root und in allen Home-Ordnern erstellt, sieht für mich wie eine Warnung aus."

Das Ziel der modifizierten Zeilen in acroread war es, mit Curl Skripte von einem Server herunterzuladen. Wenn das Skript erfolgreich auf einem verunreinigten PC gestartet wird, kann es den PC so konfigurieren, dass er regelmäßig neu startet. Dadurch kann es unter Umständen passieren, dass nicht gespeicherte Daten verloren gehen. Eli Schwartz hat dazu mitgeteilt, dass der Code nicht funktionieren würde. Dennoch ist das Löschen der verunreinigen Programme sehr zu empfehlen.

Giancarlo Razzolini von Arch Linux ist der Meinung, dass es eine Überreaktion ist generell davor zu warnen, dass von Benutzern bereitgestellte und daher nicht vertrauenswürdig AURs schlechten Code enthalten könnten. "Dieser Thread zieht viel mehr Aufmerksamkeit auf sich als gerechtfertigt". "Ich bin überrascht, dass diese Art der Paketübernahme und Malware-Einführung nicht öfter vorkommt", fügte Razzolini hinzu.

(ID:45406342)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist