在 Arch 用戶倉庫（AUR）中發現惡意軟體

7 月 7 日，有一個 AUR 軟體包被改入了一些惡意代碼，提醒 Arch Linux 用戶（以及一般的 Linux 用戶）在安裝之前應該儘可能檢查所有由用戶生成的軟體包。

AUR（即 Arch（Linux）用戶倉庫）包含包描述，也稱為 PKGBUILD，它使得從源代碼編譯包變得更容易。雖然這些包非常有用，但它們永遠不應被視為安全的，並且用戶應儘可能在使用之前檢查其內容。畢竟，AUR 在網頁中以粗體顯示 「AUR 包是用戶製作的內容。任何使用該提供的文件的風險由你自行承擔。」

這次發現包含惡意代碼的 AUR 包證明了這一點。acroread 於 7 月 7 日（看起來它以前是「孤兒」，意思是它沒有維護者）被一位名為 「xeactor」 的用戶修改，它包含了一行從 pastebin 使用 curl 下載腳本的命令。然後，該腳本下載了另一個腳本並安裝了一個 systemd 單元以定期運行該腳本。

看來有另外兩個 AUR 包以同樣的方式被修改。所有違規軟體包都已刪除，並暫停了用於上傳它們的用戶帳戶（它們註冊在更新軟體包的同一天）。

這些惡意代碼沒有做任何真正有害的事情 —— 它只是試圖上傳一些系統信息，比如機器 ID、uname -a 的輸出（包括內核版本、架構等）、CPU 信息、pacman 信息，以及 systemctl list-units（列出 systemd 單元信息）的輸出到 pastebin.com。我說「試圖」是因為第二個腳本中存在錯誤而沒有實際上傳系統信息（上傳函數為 「upload」，但腳本試圖使用其他名稱 「uploader」 調用它）。

此外，將這些惡意腳本添加到 AUR 的人將腳本中的個人 Pastebin API 密鑰以明文形式留下，再次證明他們真的不明白他們在做什麼。（LCTT 譯註：意即這是一個菜鳥「黑客」，還不懂得如何有經驗地隱藏自己。）

嘗試將此信息上傳到 Pastebin 的目的尚不清楚，特別是原本可以上傳更加敏感信息的情況下，如 GPG / SSH 密鑰。

更新： Reddit用戶 u/xanaxdroid_ 提及同一個名為 「xeactor」 的用戶也發布了一些加密貨幣挖礦軟體包，因此他推測 「xeactor」 可能正計劃添加一些隱藏的加密貨幣挖礦軟體到 AUR（兩個月前的一些 Ubuntu Snap 軟體包也是如此）。這就是 「xeactor」 可能試圖獲取各種系統信息的原因。此 AUR 用戶上傳的所有包都已刪除，因此我無法檢查。

另一個更新：你究竟應該在那些用戶生成的軟體包檢查什麼（如 AUR 中發現的）？情況各有不同，我無法準確地告訴你，但你可以從尋找任何嘗試使用 curl、wget和其他類似工具下載內容的東西開始，看看他們究竟想要下載什麼。還要檢查從中下載軟體包源的伺服器，並確保它是官方來源。不幸的是，這不是一個確切的「科學做法」。例如，對於 Launchpad PPA，事情變得更加複雜，因為你必須懂得 Debian 如何打包，並且這些源代碼是可以直接更改的，因為它託管在 PPA 中並由用戶上傳的。使用 Snap 軟體包會變得更加複雜，因為在安裝之前你無法檢查這些軟體包（據我所知）。在後面這些情況下，作為通用解決方案，我覺得你應該只安裝你信任的用戶/打包器生成的軟體包。

via: https://www.linuxuprising.com/2018/07/malware-found-on-arch-user-repository.html

作者：Logix 選題：lujun9972 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive