Arch User Repository (AUR) verbreiteter Credential Stealer

Der Angriff konzentrierte sich auf den Adoption-Prozess des AUR. Im Arch-Linux-Ökosystem können PKGBUILDs – die Skripte, die zum Erstellen von Paketen verwendet werden – als verwaist markiert werden, wenn sie nicht mehr gepflegt werden. Diese verwaisten Definitionen stehen dann jedem Benutzer zur Übernahme und Pflege offen. Die Angreifer nutzten diese Funktion, um die Kontrolle über zahlreiche Pakete zu erlangen, und modifizierten diese anschließend, um bösartigen Code einzubinden.

Die technische Infektionskette begann mit dem Hinzufügen des JavaScript-Paketmanagers npm als Abhängigkeit. Sobald das Paket installiert war, löste ein Schritt nach der Installation die Bereitstellung eines Pakets namens atomic-lockfile aus. Dieses spezielle Paket enthielt ein Vorinstallationsskript, das eine Datei namens deps ausführte. Analysen zeigen, dass deps ein Credential-Stealer ist, der verschiedene Arten von Anmeldedaten extrahieren und an einen externen Server übertragen kann. Außerdem ist die Malware darauf ausgelegt, sich im System zu verankern, ihre eigene Präsenz zu verschleiern, wenn ausreichende Berechtigungen gewährt werden, und zusätzliche Software aus dem Internet abzurufen.

Als Reaktion auf den Vorfall haben die Arch-Linux-Betreuer eine Bereinigungsaktion gestartet. Dazu gehören ein Aufruf an die Community, betroffene Pakete zu melden, die massenhafte Entfernung bösartiger Updates und die dauerhafte Sperrung von Konten, die mit den Angreifern in Verbindung stehen. Dieser Vorfall verdeutlicht die mit dem AUR verbundenen Sicherheitsrisiken. Im Gegensatz zu den offiziellen Arch-Linux-Repositories ist das AUR eine von der Community betriebene Plattform, auf der PKGBUILDs nicht vom Kernentwicklungsteam geprüft oder verifiziert werden. Von den Nutzern wird erwartet, dass sie die Build-Skripte vor der Ausführung manuell überprüfen.

Das Risiko wird durch die Verbreitung von AUR-Helfern noch verstärkt. Diese Tools vereinfachen zwar den Installationsprozess, indem sie die Build- und Update-Abfolge automatisieren, führen aber oft dazu, dass Nutzer den entscheidenden Schritt der Überprüfung von Änderungen am PKGBUILD überspringen. Da die Angreifer die Malware als normale JavaScript-Abhängigkeit getarnt hatten, mag das Hinzufügen von npm für Nutzer ohne Hintergrund in der Softwareentwicklung harmlos gewirkt haben, was das Eindringen bei flüchtiger Betrachtung schwer erkennbar machte.