News Arch Linux: Über 1.600 AUR-Pakete mit Malware verseucht

PCGH_Sven

PCGH_Sven

PCGH-Autor
Binnen Stunden haben Angreifer mehr als 1.600 Pakete im Arch User Repository ("AUR") mit einem Schädling versehen, der Zugangsdaten abgreift. Wer ausschließlich offizielle Pakete via Pacman nutzt, ist hingegen nicht betroffen.

Was sagt die PCGH-X-Community zu Arch Linux: Über 1.600 AUR-Pakete mit Malware verseucht

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Thread besser aufgehoben.
 
Jetzt geht’s los. Agent Smith fängt an zu arbeiten. Jeder will AI aber das negative Spektrum ist grösser als das positive. Und so wächst die Verantwortung einmal mehr für Menschen die in der IT arbeiten.

200 Jahre technischer Fortschritt in den Händen von Menschen die denken und handeln wie unsere Ahnen der letzten Jahrhunderte kommt nicht gut.

Europa braucht ein Silicone Valley und zwar gestern.
 
Sicherheits Check für evtl. konkrete Pakete z.B mit:

1.) pacman -Qm

dann einzelne aufgelistete überprüfen mit z.B:

2.) pacman -Qi Paketname

Edit: Ansonsten, wer sich unsicher ist, eine vollständige Neuinstallation von Arch / CachyOS etc., kann man natürlich auch machen, sicher ist sicher :daumen: - und dann erst einmal einen Riesen Bogen um AUR machen, ist ja klar.
 
Zuletzt bearbeitet:
Ich habe vor einiger Zeit zum Chaotic-AUR gewechselt. Das Repo ist kuratiert und ganz offensichtlich hat sich das, zu mindest in diesem Fall, ausgezahlt. Die Pakete wurden in den Prüfverfahren erkannt und nicht gebaut und verteilt.

Das AUR ist einerseits eine tolle Bereicherung und auf der anderen Seite ein sehr fragiles Kostrukt. Letzten Endes sind es hässliche kleine Trolle von Geschwistereltern die uns den Spaß verderben. Ein paar Kondome hätten viel verhindern können...
 
-nocturne- schrieb:
Ich habe vor einiger Zeit zum Chaotic-AUR gewechselt. Das Repo ist kuratiert und ganz offensichtlich hat sich das, zu mindest in diesem Fall, ausgezahlt. Die Pakete wurden in den Prüfverfahren erkannt und nicht gebaut und verteilt.

Das AUR ist einerseits eine tolle Bereicherung und auf der anderen Seite ein sehr fragiles Kostrukt. Letzten Endes sind es hässliche kleine Trolle von Geschwistereltern die uns den Spaß verderben. Ein paar Kondome hätten viel verhindern können...
Zum Vergrößern anklicken....

Sehe ich auch so, AUR ist toll um schnell Software die nicht Offiziell im Repo ist zu installieren.
Doch auch sehr Gefährlich, da reicht schon aus wenn ein einziges Paket verseucht ist und dann wars das mit dem gesammten System. Ich würde einem System das einmal verseucht (Malware) nie mehr vertrauen, auch wenn ich die Datein händisch gelöscht hab. Da bleibt nur eine Neuinstallation.

Ich nutzt Archlinux seit, 2005, und somit seit über 20 Jahren auch AUR, doch ich bin sehr sehr vorsichtig mit AUR und installiere von dort nur sehr wenig Software, aktuell nur das offizielle brave-bin.

Statt AUR lieber Flatpak nutzten (sandboxed) oder besser gleich selbstbauen (so fern Skills vorhaden)
 
Zuletzt bearbeitet:
Mein Cachy (läuft seit Januar) ist sauber, nutze nur die nötigsten Programme und installiere in der Regel mit *pacman*,
das sollte dann sicherer sein. Man muss halt immer "Brain.Exe" anwerfen, schlimmer als unter Windows ist es jedenfalls nicht...
 
demertux schrieb:
Besser macht man es indem man sich auf eine etablierte Qualitäts-Distribution zu entscheiden.
Zum Vergrößern anklicken....

Da gibt es nur eine einzige, meiner Meinung nach: DEBIAN. (Debian Stable)

Edit: Sehe gerade, sein Beitrag ist weg.
Terence-Hill schrieb:
Ich würde einem System das einmal verseucht (Malware) nie mehr vertrauen, auch wenn ich die Datein händisch gelöscht hab. Da bleibt nur eine Neuinstallation.
Zum Vergrößern anklicken....

1000% Zustimmung. :daumen:
 
Beim AUR gilt das selbe wie überall, man muss nicht alles installieren was man findet. Als beispiel kann ich unter Windows auch nicht jede .exe ausführen die ich im Internet finde und die mir jemand zum Download bereitstellt.
Aber schön finde ich das es so schnell aufgefallen ist.
Auch bedrohlich sehe ich solche News häufen sich irgendwie wieder. In den letzen Monaten war ja auch das Update von Notepad++ und HWMonitor betroffen (Beides WIndows) und jetzt diese Sache.
Hab irgendwie gehofft das Viren unlukrativ werden und phising die neue meta wird, aber KI hat mir einen strich durch die Rechnung gemacht :ugly:
 
Wenn ich CachyOS anwerfe alle paar Tage machte ich die Updates immer bequem über Pacman. Als Neuling scheint mir das auch seit Anfang an die bequemste und sicherste Methode zu sein. Ich wusste bis jetzt noch nicht mal, dass ich auch anders Updates machen kann xD. Wohl auch besser so. ^^
 
h_tobi schrieb:
Mein Cachy (läuft seit Januar) ist sauber, nutze nur die nötigsten Programme und installiere in der Regel mit *pacman*,
das sollte dann sicherer sein. Man muss halt immer "Brain.Exe" anwerfen, schlimmer als unter Windows ist es jedenfalls nicht...
Zum Vergrößern anklicken....

Eine gesunde Skepsis ('Brain.exe') ist super, um nicht auf offensichtlichen Blödsinn reinzufallen. Aber bei der Sicherheit deiner Paketquellen hilft dir dein Bauchgefühl leider ab einem gewissen Punkt überhaupt nichts mehr. Zu glauben, dass man sicher ist, nur weil man pacman nutzt und 'aufpasst', ist ein gefährlicher Trugschluss!

Niemand liest die Diffs und 99,9% der Nutzern würden es eh nicht verstehen! Wer von uns filtert bei hunderten Paketen und tausenden Zeilen Code professionell Schadsoftware heraus? Schadsoftware tarnt sich heute nicht mehr als install_malware.sh, sondern als obskurer Einzeiler in komplexen Build-Skripten oder versteckt in Binärdateien.

Zu dem gibt es bei ChachyOS (und den ganzen anderen Archlinux Derivate) noch ein weiteres Problem. CachyOS nutzt eigene Repositories mit aggressiven Compiler-Optimierungen (wie LTO, v3 / v4). Das bedeutet, dass der Code immer! automatisiert neu gebaut wird. Wenn in dieser Kette etwas schiefgeht oder eine Abhängigkeit kompromittiert ist, fliegt das unter dem Radar der allermeisten Nutzer.

Das beste Beispiel ist XZ-Utils aus 2024, niemand hat das bemerkt, selbst absolute Core-Entwickler haben es monatelang nicht gemerkt. Ausgerollt in alle Linux Derivate wie Debian, Archlinux, Fedora etc.... !!! Nochmal Niemand nicht mal die ganzen Sicherheitsexperten haben es bemerkt, nur durch einen Zufall, wurde es rechtzeigt bemerkt.
Da war ein Backdoor im SSH Server, so das der Angreife auf JEDES SYSTEM dieser Welt hätte sich mit root rechten einloggen können!
 
Gemäss dem Arch-Script sind die paar wenigen AUR-Pakete auf meinem System nicht betroffen.
Der AUR-Einsatz ist bei mir sowieso selten, das Zeug von da ist gewohnt mühsames Gebastel und wenig attraktiv, wenn man das Gesuchte viel einfacher über die Cachy-Repos, oder wenn dann alternativ über Bazaar findet... Auch wenn Flathub mit den Apps ständig einen Egotrip veranstaltet und Apps ausserhalb des Flathub-Universums aus Prinzip nicht automatisch finden wollen.
 
Terence-Hill schrieb:
Statt AUR lieber Flatpak nutzten (sandboxed) oder besser gleich selbstbauen (so fern Skills vorhaden)
Zum Vergrößern anklicken....
Selbst bauen ist die beste Option wobei das sehr umständlich und unübersichtlich wird wenn man viele Programme selbst baut und sie up to date halten will. Flatpaks mag ich nicht, die Rechteverwaltung kann auch max. nervig werden. Am Ende ist es immer ein Kompromiss und wie @h_tobi angemerkt hat *brain.exe* anschmeißen- in userem Fall wohl eher *brain.sh*
 
_Oskar_ schrieb:
Da gibt es nur eine einzige, meiner Meinung nach: DEBIAN. (Debian Stable)
Zum Vergrößern anklicken....

Debian hat inzwischen 70.000 Pakete die alle von Internen Maintainern mit Sicherheitsupdates gepflegt werden müssen (da eine Aktualisieren nach dem freeze nicht mehr gewollt).
Mark sein das dies mit Populären Paketen gut funktioniert, aber mit weniger beliebten Paketen sicher nicht.

Es ist nur eine Frage der Zeit, bis auch bei Debian Probleme auftauchen/bekannt werden.

Wenn du eine wirklich sichere Distribution möchtest, benötigst du eine Immutable Distro + Flatpak.
 
wanderfalke1988 schrieb:
Wenn du eine wirklich sichere Distribution möchtest, benötigst du eine Immutable Distro + Flatpak.
Zum Vergrößern anklicken....

Wie gesagt, 100% ige Sicherheit gibt es nirgendwo, nur in einem Märchen.
Ansonsten könnte man ja auch QubesOS nutzen, dass u.a von Snowden empfohlen wird, aber was die Praktikabilität bei diesem OS anbelangt, so ist es für das Zocken auch nicht geeignet, nö nööö.
 
Registrierzwang schrieb:
Dank (K)Ubuntu habe ich das AUR-Problem nicht. Das trifft hier im Forum eher alle CachyOS Nutzer...
Zum Vergrößern anklicken....
h_tobi schrieb:
Mein Cachy (läuft seit Januar) ist sauber, nutze nur die nötigsten Programme und installiere in der Regel mit *pacman*,
das sollte dann sicherer sein. Man muss halt immer "Brain.Exe" anwerfen, schlimmer als unter Windows ist es jedenfalls nicht...
Zum Vergrößern anklicken....
Die Situation ist kompliziert.
Also prinzipiell ist das AUR ja einfach eine Art Homebrew Archiv, wie der wilde Westen, ohne Garantie und explizit mit Vorsicht zu genießen.

Als gewöhnlicher CachyOS bzw Arch allgemein (AUR gehört nicht direkt zu CachyOS) Nutzer hast du theoretisch kein Risiko, weil man das AUR nur nutzt wenn man es selber so wählt, für spezielle Tools oder Forks.

Jetzt kommt aber das "aber", speziell für CachyOS: Weil CachyOS immer bleeding edge sein möchte, verwenden sie zum Teil (eher selten) tatsächlich auch Versionen aus AUR um damit eigene Pakete zu schnüren. Man muss hoffen, dass sie dabei vorsichtig sind...
_Oskar_ schrieb:
Da gibt es nur eine einzige, meiner Meinung nach: DEBIAN. (Debian Stable)

Edit: Sehe gerade, sein Beitrag ist weg.


1000% Zustimmung. :daumen:
Zum Vergrößern anklicken....
Najaaaaa ob nur Debian als stabile, zuverlässige Distribution gesehen werden kann? Ich denke die grossen Distros mit Point Releases sind sehr gut gemaintained.

Absolute Sicherheit, und hier vermisse ich bereits den Kommentar von @_roman_ ,bietet wohl nur Gentoo: Alles selbst compilen, auch den Compiler selbst compilen, und auch den Compiler des Compilers usw... Und alle Sources vorher durchchecken :D
 
Zuletzt bearbeitet:
joecnstr schrieb:
bietet wohl nur Gentoo: Alles selbst compilen, auch den Compiler selbst compilen, und auch den Compiler des Compilers usw... Und alle Sources vorher durchchecken :D
Zum Vergrößern anklicken....

Na, dann weist Du ja was zu tun ist. ^^ :D;)

Editchen: Bringst mich gerade auf die Idee, es gibt doch die neue Gentoo "Out of the Box Distri" u.a - (leider auch mit systemD) sie nennt sich: CalamaroOS, vielleicht wäre das ja auch etwas für den ein oder anderen zum ausprobieren, wer halt mag.

DistroWatch.com: CalamaroOS

News and feature lists of Linux and BSD distributions.
distrowatch.com distrowatch.com

 
Zuletzt bearbeitet:
Moin, ich habe pacman -Qm durchlaufen lassen. Vier Pakete wurden mir angezeigt. Hab alle mit pacman -Qi geprüft, Packer war immer
CachyOS <admin@cachyos.org>
Verifiziert durch : Signatur
Sollte ich das System neu aufsetzen ?

Hab das Scrip von Cachy durchlaufen lassen.
Clean: None of the known infected packages were installed within 2 days of the campaigns.
Sieht wohl ganz gut aus.
 
Zuletzt bearbeitet:
joecnstr schrieb:
Absolute Sicherheit, und hier vermisse ich bereits den Kommentar von @_roman_ ,bietet wohl nur Gentoo: Alles selbst compilen, auch den Compiler selbst compilen, und auch den Compiler des Compilers usw... Und alle Sources vorher durchchecken :D
Zum Vergrößern anklicken....
Da gehe ich absolut mit. Gentoo wäre wohl eine der besten Lösungen. Oder LFS. WENN das nicht so unsagbar viel Zeit fressen würde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

U
CachyOS AUR: Skript für KI-Paket-Scan
Antworten
0
Aufrufe
276
ultramann
U
PCGH-Redaktion
News Erfolg von Linux mit Schattenseiten: "Nie dagewesene" Malware entdeckt
2 3
Antworten
52
Aufrufe
4K
Andreas1975
Andreas1975
PCGH_Sven
News Dirty Frag: CachyOS schließt Sicherheitslücken im Linux-Kernel
2
Antworten
26
Aufrufe
1K
_Oskar_
_Oskar_
PCGH_Sven
News Omarchy 3.5: Bildhübsche Linux-Distribution für Workstation-PCs
Antworten
18
Aufrufe
1K
Schinken
Schinken
PCGH_Sven
News ObsidianOS: Arch Linux mit A/B-Partition geht auf Nummer sicher
Antworten
1
Aufrufe
358
BenW
BenW
Oben Unten
Zurück