Arch Linux: Über 1.600 AUR-Pakete mit Malware verseucht
Binnen Stunden haben Angreifer mehr als 1.600 Pakete im Arch User Repository ("AUR") mit einem Schädling versehen, der Zugangsdaten abgreift. Wer ausschließlich offizielle Pakete via Pacman nutzt, ist hingegen nicht betroffen.
Mehrere bislang unbekannte Accounts haben ganz gezielt verwaiste, von ihren ursprünglichen Maintainern aufgegebene Pakete im AUR übernommen und deren Build-Skripte ("PKGBUILD") manipuliert. Sicherheitsforscher führen den Vorfall unter dem Namen "Atomic Arch", der Schwerpunkt liegt klar auf den aktuell sehr beliebten Gaming-Distributionen, welche den Zugriff auf das AUR per Mausklick erlauben.
Großangriff auf Arch Linux: 1.600 AUR-Pakete betroffen
Gerade CachyOS, Manjaro und EndeavourOS (Bericht) reichen Software aus dem AUR über grafische Helper und Benutzeroberflächen durch. Wer in den vergangenen Tagen AUR-Pakete über einen der Helper wie yay oder paru installiert oder aktualisiert hat, sollte sein Computersystem umgehend auf mögliche Malware überprüfen.
Über npm ins System: So gelangte die Malware ins AUR
Die Angreifer ergänzten die manipulierten PKGBUILD-Dateien um npm als Abhängigkeit und um ein Post-Install-Skript, das beim Bauen automatisch "npm install" ausführt. Dabei lädt das System das bösartige npm-Paket "atomic-lockfile" nach, das die eigentliche Schadlast enthält. Der reguläre Arch-Paketmanager Pacman bleibt hingegen außen vor, weil er AUR-Softwarepakete gar nicht erst verarbeitet.
Atomic-lockfile: Welche Zugangsdaten die Malware stiehlt
Das Schadpaket "atomic-lockfile" durchsucht Browser-Profile und verschiedenste Electron-Anwendungen nach Zugangsdaten für GitHub, npm und ChatGPT. Im Visier stehen Chromium-Browser wie Brave, Vivaldi, Opera, Edge und Google Chrome, dazu Electron-Apps wie Microsoft Teams, Discord und Slack. Eine ELF-Datei namens "deps" greift Anmeldedaten und Tokens ab und übermittelt sie an die Angreifer.
eBPF-Rootkit verbirgt die Malware tief im Kernel
Mit Root-Rechten installiert der Schädling ein eBPF-Rootkit, das eigene Prozesse im Systemkernel ausführt und vor Werkzeugen wie ps und htop versteckt. Diese Tarnung erschwert das Aufspüren erheblich, weil Schadprozesse wie reguläre Kernel-Threads erscheinen. Ohne forensische Werkzeuge fällt eine Infektion damit kaum auf, was diesen Vorfall wiederum von simpleren Infostealern abhebt.
Von 400 auf über 1.600 Pakete: Das Ausmaß des AUR-Angriffs
Aus zunächst rund 400 gemeldeten Softwarepaketen wurden binnen eines Tages über 1.600, bevor das Arch-Team den Angriff für eingedämmt erklärte. Dass ein einzelner Adoptions-Vorgang derart viele verwaiste Pakete auf einmal umfasste, fiel im aktuellen Übernahme-Prozess zunächst offenbar niemandem ins Auge.
Ich glaube, dass wir aktuell alle uns bekannten Schadcode-Commits gelöscht haben. Danke an alle, die Pakete gemeldet haben.
— Jonathan Grotelüschen via Arch Linux Mailingliste
Die Maintainer haben nach eigenen Angaben inzwischen sämtliche bekannten Schadcode-Commits zurückgesetzt und die beteiligten Konten gesperrt; mittlerweile gilt der Vorfall als abgewehrt. Paketverwalter Jonathan Grotelüschen bat die Community zugleich, weiterhin verdächtige Softwarepakete zu melden.
Offizielle Arch-Pakete und pacman bleiben sicher
Die offiziellen Paketquellen [core], [extra] und [multilib] sind nicht betroffen, weil sie ein strengeres Review durchlaufen als das AUR. Wer Software ausschließlich über Pacman aus diesen Quellen bezieht, muss nichts unternehmen.
Das Risiko trägt allein, wer das AUR nutzt, und genau dort empfiehlt das Arch-Wiki seit jeher, jedes PKGBUILD vor dem Bauen zu prüfen.
So prüfen man sein System auf betroffene AUR-Pakete
Der Befehl "pacman -Qm" listet alle Fremdpakete auf, die nicht aus den offiziellen Quellen stammen, und damit sämtliche AUR-Installationen. Diese Liste lässt sich mit den über die Arch-Mailingliste veröffentlichten Paketnamen abgleichen. Das CachyOS-Projekt stellt zusätzlich ein Prüf-Skript bereit, das ein System automatisch auf die betroffenen Softwarepakete hin absucht.
Mitmachen und kommentieren
Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich schon über Ihre Meinung in den Kommentaren zu dieser Meldung. Sollten Sie hingegen noch keinen Extreme-Account haben, laden wir Sie zu einer Registrierung im Forum ein. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln. Folgen Sie gerne PCGH bei 🔈 YouTube oder 💬 WhatsApp und erhalten Sie Neuigkeiten zu CPUs, Grafikkarten und Gaming direkt in Ihrem Feed.
Quelle: archlinux.org
Das AUR ist einerseits eine tolle Bereicherung und auf der anderen Seite ein sehr fragiles Kostrukt. Letzten Endes sind es hässliche kleine Trolle von Geschwistereltern die uns den Spaß verderben. Ein paar Kondome hätten viel verhindern können...
Doch auch sehr Gefährlich, da reicht schon aus wenn ein einziges Paket verseucht ist und dann wars das mit dem gesammten System. Ich würde einem System das einmal verseucht (Malware) nie mehr vertrauen, auch wenn ich die Datein händisch gelöscht hab. Da bleibt nur eine Neuinstallation.
Daher bin ich seit 20 Jahren sehr sehr vorsichtig mit AUR und installiere von dort nur sehr wenig Software, aktuell nur brave-bin.
Statt AUR lieber Flatpak nutzten (sandboxed) oder besser gleich selbstbauen (so fern Skills vorhaden)
Halbwissen tragen massiv dazu bei, dass das AUR immer mehr Ziel von Schadsoftware wird.
Sie bewerben CachyOS mit das einfachste und beste System für Gaming und wie einfach alles zu installieren ist. Seit immer mehr Arch Derivate wie CachyOS, Manjaro, Garuda beworben wird, nehmen die Problem im AUR überhand. Weil diese Systeme einen 1 Klick Installer bieten wie Pamac, Otcopi und andere. Was Magazine wie Pcgameshardware und Youtuber verschweigen ist, dass man keine Software aus dem AUR per Klick installieren sollte, ohne vorher den Paketbuild zu lesen. Dazu sind die ganzen Umsteiger aber gar nicht imstande. Ich behaupte auch die Redakteure haben keinen Plan davon. Hauptsache es gibt Klicks und Aufrufe. Unverantwortlich. Aber dasselbe Muster sieht man ja auch bei TikTok mit den Influencer. Besser macht man es indem man sich auf eine etablierte Qualitäts-Distribution zu entscheiden. Auch wenn man dabei 1-3 FPS weniger hat oder das Fenster-Öffnen sich um 2. Mikrosekunden verlängert.
Das AUR ist einerseits eine tolle Bereicherung und auf der anderen Seite ein sehr fragiles Kostrukt. Letzten Endes sind es hässliche kleine Trolle von Geschwistereltern die uns den Spaß verderben. Ein paar Kondome hätten viel verhindern können...
1.) pacman -Qm
dann einzelne aufgelistete überprüfen mit z.B:
2.) pacman -Qi Paketname
Edit: Ansonsten, wer sich unsicher ist, eine vollständige Neuinstallation von Arch / CachyOS etc., kann man natürlich auch machen, sicher ist sicher