News Arch Linux: Über 1.600 AUR-Pakete mit Malware verseucht

[PCGH_Sven]

Binnen Stunden haben Angreifer mehr als 1.600 Pakete im Arch User Repository ("AUR") mit einem Schädling versehen, der Zugangsdaten abgreift. Wer ausschließlich offizielle Pakete via Pacman nutzt, ist hingegen nicht betroffen.

Was sagt die PCGH-X-Community zu Arch Linux: Über 1.600 AUR-Pakete mit Malware verseucht

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Thread besser aufgehoben.

 

[ultramann]

Hier mein Skript, dass ein AUR-Paket VOR der Installation per KI bewerten lässt:

https://extreme.pcgameshardware.de/threads/cachyos-aur-skript-fuer-ki-paket-scan.675473/

 

[Velocitas77]

Jetzt geht’s los. Agent Smith fängt an zu arbeiten. Jeder will AI aber das negative Spektrum ist grösser als das positive. Und so wächst die Verantwortung einmal mehr für Menschen die in der IT arbeiten.

200 Jahre technischer Fortschritt in den Händen von Menschen die denken und handeln wie unsere Ahnen der letzten Jahrhunderte kommt nicht gut.

Europa braucht ein Silicone Valley und zwar gestern.

 

[Registrierzwang]

Dank (K)Ubuntu habe ich das AUR-Problem nicht. Das trifft hier im Forum eher alle CachyOS Nutzer...

 

[_Oskar_]

Sicherheits Check für evtl. konkrete Pakete z.B mit:

1.) pacman -Qm

dann einzelne aufgelistete überprüfen mit z.B:

2.) pacman -Qi Paketname

Edit: Ansonsten, wer sich unsicher ist, eine vollständige Neuinstallation von Arch / CachyOS etc., kann man natürlich auch machen, sicher ist sicher - und dann erst einmal einen Riesen Bogen um AUR machen, ist ja klar.

 

[-nocturne-]

Ich habe vor einiger Zeit zum Chaotic-AUR gewechselt. Das Repo ist kuratiert und ganz offensichtlich hat sich das, zu mindest in diesem Fall, ausgezahlt. Die Pakete wurden in den Prüfverfahren erkannt und nicht gebaut und verteilt.

Das AUR ist einerseits eine tolle Bereicherung und auf der anderen Seite ein sehr fragiles Kostrukt. Letzten Endes sind es hässliche kleine Trolle von Geschwistereltern die uns den Spaß verderben. Ein paar Kondome hätten viel verhindern können...

 

[Terence-Hill]

Ich habe vor einiger Zeit zum Chaotic-AUR gewechselt. Das Repo ist kuratiert und ganz offensichtlich hat sich das, zu mindest in diesem Fall, ausgezahlt. Die Pakete wurden in den Prüfverfahren erkannt und nicht gebaut und verteilt.

Das AUR ist einerseits eine tolle Bereicherung und auf der anderen Seite ein sehr fragiles Kostrukt. Letzten Endes sind es hässliche kleine Trolle von Geschwistereltern die uns den Spaß verderben. Ein paar Kondome hätten viel verhindern können...

Sehe ich auch so, AUR ist toll um schnell Software die nicht Offiziell im Repo ist zu installieren.
Doch auch sehr Gefährlich, da reicht schon aus wenn ein einziges Paket verseucht ist und dann wars das mit dem gesammten System. Ich würde einem System das einmal verseucht (Malware) nie mehr vertrauen, auch wenn ich die Datein händisch gelöscht hab. Da bleibt nur eine Neuinstallation.

Ich nutzt Archlinux seit, 2005, und somit seit über 20 Jahren auch AUR, doch ich bin sehr sehr vorsichtig mit AUR und installiere von dort nur sehr wenig Software, aktuell nur das offizielle brave-bin.

Statt AUR lieber Flatpak nutzten (sandboxed) oder besser gleich selbstbauen (so fern Skills vorhaden)

 

[h_tobi]

Mein Cachy (läuft seit Januar) ist sauber, nutze nur die nötigsten Programme und installiere in der Regel mit *pacman*,
das sollte dann sicherer sein. Man muss halt immer "Brain.Exe" anwerfen, schlimmer als unter Windows ist es jedenfalls nicht...

 

[_Oskar_]

Besser macht man es indem man sich auf eine etablierte Qualitäts-Distribution zu entscheiden.

Da gibt es nur eine einzige, meiner Meinung nach: DEBIAN. (Debian Stable)

Edit: Sehe gerade, sein Beitrag ist weg.

Ich würde einem System das einmal verseucht (Malware) nie mehr vertrauen, auch wenn ich die Datein händisch gelöscht hab. Da bleibt nur eine Neuinstallation.

1000% Zustimmung.

 

[Alcatraz3131]

Beim AUR gilt das selbe wie überall, man muss nicht alles installieren was man findet. Als beispiel kann ich unter Windows auch nicht jede .exe ausführen die ich im Internet finde und die mir jemand zum Download bereitstellt.
Aber schön finde ich das es so schnell aufgefallen ist.
Auch bedrohlich sehe ich solche News häufen sich irgendwie wieder. In den letzen Monaten war ja auch das Update von Notepad++ und HWMonitor betroffen (Beides WIndows) und jetzt diese Sache.
Hab irgendwie gehofft das Viren unlukrativ werden und phising die neue meta wird, aber KI hat mir einen strich durch die Rechnung gemacht

 

[Major_Fletcher]

Wenn ich CachyOS anwerfe alle paar Tage machte ich die Updates immer bequem über Pacman. Als Neuling scheint mir das auch seit Anfang an die bequemste und sicherste Methode zu sein. Ich wusste bis jetzt noch nicht mal, dass ich auch anders Updates machen kann xD. Wohl auch besser so. ^^

 

[Terence-Hill]

Mein Cachy (läuft seit Januar) ist sauber, nutze nur die nötigsten Programme und installiere in der Regel mit *pacman*,
das sollte dann sicherer sein. Man muss halt immer "Brain.Exe" anwerfen, schlimmer als unter Windows ist es jedenfalls nicht...

Eine gesunde Skepsis ('Brain.exe') ist super, um nicht auf offensichtlichen Blödsinn reinzufallen. Aber bei der Sicherheit deiner Paketquellen hilft dir dein Bauchgefühl leider ab einem gewissen Punkt überhaupt nichts mehr. Zu glauben, dass man sicher ist, nur weil man pacman nutzt und 'aufpasst', ist ein gefährlicher Trugschluss!

Niemand liest die Diffs und 99,9% der Nutzern würden es eh nicht verstehen! Wer von uns filtert bei hunderten Paketen und tausenden Zeilen Code professionell Schadsoftware heraus? Schadsoftware tarnt sich heute nicht mehr als install_malware.sh, sondern als obskurer Einzeiler in komplexen Build-Skripten oder versteckt in Binärdateien.

Zu dem gibt es bei ChachyOS (und den ganzen anderen Archlinux Derivate) noch ein weiteres Problem. CachyOS nutzt eigene Repositories mit aggressiven Compiler-Optimierungen (wie LTO, v3 / v4). Das bedeutet, dass der Code immer! automatisiert neu gebaut wird. Wenn in dieser Kette etwas schiefgeht oder eine Abhängigkeit kompromittiert ist, fliegt das unter dem Radar der allermeisten Nutzer.

Das beste Beispiel ist XZ-Utils aus 2024, niemand hat das bemerkt, selbst absolute Core-Entwickler haben es monatelang nicht gemerkt. Ausgerollt in alle Linux Derivate wie Debian, Archlinux, Fedora etc.... !!! Nochmal Niemand nicht mal die ganzen Sicherheitsexperten haben es bemerkt, nur durch einen Zufall, wurde es rechtzeigt bemerkt.
Da war ein Backdoor im SSH Server, so das der Angreife auf JEDES SYSTEM dieser Welt hätte sich mit root rechten einloggen können!

 

[BigYundol]

Gemäss dem Arch-Script sind die paar wenigen AUR-Pakete auf meinem System nicht betroffen.
Der AUR-Einsatz ist bei mir sowieso selten, das Zeug von da ist gewohnt mühsames Gebastel und wenig attraktiv, wenn man das Gesuchte viel einfacher über die Cachy-Repos, oder wenn dann alternativ über Bazaar findet... Auch wenn Flathub mit den Apps ständig einen Egotrip veranstaltet und Apps ausserhalb des Flathub-Universums aus Prinzip nicht automatisch finden wollen.

 

[-nocturne-]

Statt AUR lieber Flatpak nutzten (sandboxed) oder besser gleich selbstbauen (so fern Skills vorhaden)

Selbst bauen ist die beste Option wobei das sehr umständlich und unübersichtlich wird wenn man viele Programme selbst baut und sie up to date halten will. Flatpaks mag ich nicht, die Rechteverwaltung kann auch max. nervig werden. Am Ende ist es immer ein Kompromiss und wie @h_tobi angemerkt hat *brain.exe* anschmeißen- in userem Fall wohl eher *brain.sh*

 

[wanderfalke1988]

Da gibt es nur eine einzige, meiner Meinung nach: DEBIAN. (Debian Stable)

Debian hat inzwischen 70.000 Pakete die alle von Internen Maintainern mit Sicherheitsupdates gepflegt werden müssen (da eine Aktualisieren nach dem freeze nicht mehr gewollt).
Mark sein das dies mit Populären Paketen gut funktioniert, aber mit weniger beliebten Paketen sicher nicht.

Es ist nur eine Frage der Zeit, bis auch bei Debian Probleme auftauchen/bekannt werden.

Wenn du eine wirklich sichere Distribution möchtest, benötigst du eine Immutable Distro + Flatpak.

 

[_Oskar_]

Wenn du eine wirklich sichere Distribution möchtest, benötigst du eine Immutable Distro + Flatpak.

Wie gesagt, 100% ige Sicherheit gibt es nirgendwo, nur in einem Märchen.
Ansonsten könnte man ja auch QubesOS nutzen, dass u.a von Snowden empfohlen wird, aber was die Praktikabilität bei diesem OS anbelangt, so ist es für das Zocken auch nicht geeignet, nö nööö.

 

[Emil_Esel]

frickel linux ist nicht nur anstrengend und unbequem sondern auch noch gefährlich
hoffe das wird bald verboten
windows rockt!

 

[joecnstr]

Dank (K)Ubuntu habe ich das AUR-Problem nicht. Das trifft hier im Forum eher alle CachyOS Nutzer...

Mein Cachy (läuft seit Januar) ist sauber, nutze nur die nötigsten Programme und installiere in der Regel mit *pacman*,
das sollte dann sicherer sein. Man muss halt immer "Brain.Exe" anwerfen, schlimmer als unter Windows ist es jedenfalls nicht...

Die Situation ist kompliziert.
Also prinzipiell ist das AUR ja einfach eine Art Homebrew Archiv, wie der wilde Westen, ohne Garantie und explizit mit Vorsicht zu genießen.

Als gewöhnlicher CachyOS bzw Arch allgemein (AUR gehört nicht direkt zu CachyOS) Nutzer hast du theoretisch kein Risiko, weil man das AUR nur nutzt wenn man es selber so wählt, für spezielle Tools oder Forks.

Jetzt kommt aber das "aber", speziell für CachyOS: Weil CachyOS immer bleeding edge sein möchte, verwenden sie zum Teil (eher selten) tatsächlich auch Versionen aus AUR um damit eigene Pakete zu schnüren. Man muss hoffen, dass sie dabei vorsichtig sind...