News Arch Linux: Über 1.600 AUR-Pakete mit Malware verseucht

wanderfalke1988 schrieb:
Es ist nur eine Frage der Zeit, bis auch bei Debian Probleme auftauchen/bekannt werden.
Zum Vergrößern anklicken....
Anders als beim AUR kann man bei Debian - und generell allen Distros mit Maintainern - die Commits auf Probleme abklopfen. In Zukunft wohl vermehrt auch mit KI gestützten Prozessen. Gerade wenn Pakete zu hunderten manipuliert werden, würde das einem KI-Agenten auffallen.

Ich glaube nicht, dass man dieses aktuelle AUR-Problem außerhalb von AUR und anderen von der Community betriebenen Repositories finden wird. AUR ist Wilder Westen mit nur seinen Bewohnern als Sheriffs.

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

;)

Terence-Hill schrieb:
Eine gesunde Skepsis ('Brain.exe') ist super, um nicht auf offensichtlichen Blödsinn reinzufallen. Aber bei der Sicherheit deiner Paketquellen hilft dir dein Bauchgefühl leider ab einem gewissen Punkt überhaupt nichts mehr. Zu glauben, dass man sicher ist, nur weil man pacman nutzt und 'aufpasst', ist ein gefährlicher Trugschluss!
Zum Vergrößern anklicken....
Terence-Hill schrieb:
Das beste Beispiel ist XZ-Utils aus 2024, niemand hat das bemerkt, selbst absolute Core-Entwickler haben es monatelang nicht gemerkt. Ausgerollt in alle Linux Derivate wie Debian, Archlinux, Fedora etc.... !!! Nochmal Niemand nicht mal die ganzen Sicherheitsexperten haben es bemerkt, nur durch einen Zufall, wurde es rechtzeigt bemerkt.
Da war ein Backdoor im SSH Server, so das der Angreife auf JEDES SYSTEM dieser Welt hätte sich mit root rechten einloggen können!
Zum Vergrößern anklicken....
Dagegen hätte auch keine Skepsis was gebracht. Auch ein anderes Tool als bin/brain hätte da nicht geholfen.

Wenn du ein zentrales Tool hast, dass einfach ein Loch hat, von dem (mit Glück) keiner weiß, dann kann es auch keine Softwarelösung dagegen geben. Folglich ist man dem einfach ausgeliefert. Das betrifft aber alles in deinem Leben. Wenn du etwas nicht weißt, dann kannst du dagegen auch keine Maßnahmen ergreifen. Isso. :ka:
 
Zuletzt bearbeitet:
Tekkla schrieb:
Ich glaube nicht, dass man dieses aktuelle AUR-Problem außerhalb von AUR und anderen von der Community betriebenen Repositories finden wird. AUR ist Wilder Westen mit nur seinen Bewohnern als Sherrifs.
Zum Vergrößern anklicken....
Dagegen steht das kuratierte Chaotic-AUR das Pakete bereits als Binärdaten verteilt. Da fallen kompromitierte Daten schneller auf. Ich will nicht sagen dass das der heilige Gral ist, aber dem normalen AUR würde eine Kuratorirung sehr helfen.
 
TeSla67 schrieb:
Moin, ich habe pacman -Qm durchlaufen lassen. Vier Pakete wurden mir angezeigt. Hab alle mit pacman -Qi geprüft, Packer war immer
CachyOS <admin@cachyos.org>
Verifiziert durch : Signatur
Sollte ich das System neu aufsetzen ?

Hab das Scrip von Cachy durchlaufen lassen.
Clean: None of the known infected packages were installed within 2 days of the campaigns.
Sieht wohl ganz gut aus.
Zum Vergrößern anklicken....

Nein, mit "pacman -Qm" hast du lediglich eine Abfrage gemacht welche Pakete sind über AUR installiert.
Du hast 4 Pakete.

Das bedeutet nicht, dass die Pakete infiziert sind, sondern lediglich dass du 4 Paket über die AUR-Repositories installiert hast. Packer muss immer ChachyOS sein, da die einen Spiegel aller AUR Paket bieten, die bauen die jedesmal neu mit den aggressiven Compiler-Optimierungen (wie LTO, x86-64 v3 / v4).



Ich habe mal die Liste mit den 1200 infizierten AUR Paketen auf Pastbin hochgeladen, drücke Strg + F und suche nach den 4 Paketn manuell, ist dort keines enthalten alles gut, ist eines enthalten, poste es nochmal und wir schauen es uns an.

Linkt Infected AUR: https://pastes.io/pMlj9SIn
 
Zuletzt bearbeitet:
TeSla67 schrieb:
Moin, ich habe pacman -Qm durchlaufen lassen. Vier Pakete wurden mir angezeigt. Hab alle mit pacman -Qi geprüft, Packer war immer
CachyOS <admin@cachyos.org>
Verifiziert durch : Signatur
Sollte ich das System neu aufsetzen ?

Hab das Scrip von Cachy durchlaufen lassen.
Clean: None of the known infected packages were installed within 2 days of the campaigns.
Sieht wohl ganz gut aus.
Zum Vergrößern anklicken....
Die Leute von Cachy haben ein Script gebaut mit dem sich sowohl die Pakete als auch der damit betroffene Zeitraum filtern lassen. Findest du hier Link
 
Terence-Hill schrieb:
Nein, mit "pacman -Qm" hast du lediglich eine Abfrage gemacht welche Pakete sind über AUR installiert.
Du hast 4 Pakete.

Das bedeutet nicht, dass die Pakete infiziert sind, sondern lediglich dass du 4 Paket über die AUR-Repositories installiert hast. Packer muss immer ChachyOS sein, da die einen Spiegel aller AUR Paket bieten, die bauen die jedesmal neu mit den aggressiven Compiler-Optimierungen (wie LTO, x86-64 v3 / v4).

Ich habe mal die Liste mit den 1200 infizierten AUR Paketen auf Pastbin hochgeladen, drücke Strg + F und suche nach den 4 Paketn manuell, ist dort keines enthalten alles gut, ist eines enthalten, poste es nochmal und wir schauen es uns an.

Linkt Infected AUR: https://pastes.io/pMlj9SIn
Zum Vergrößern anklicken....
Ich hatte zwischendurch das Script von CachyOS durchlaufen lassen.
Clean: None of the known infected packages were installed within 2 days of the campaigns.
 
Nichts ist so schlecht das es nicht für irgendwas gut wäre. Zumindest hab ich das Thema AUR Pakete jetzt deutlich mehr auf dem Schirm.
 
Terence-Hill schrieb:
Niemand liest die Diffs
Zum Vergrößern anklicken....
Bullshit. Jeder, der verantwortungsvoll mit dem AUR umgeht, liest die Diffs. Es ist ja nun auch in aller Regel wirklich kein nennenswerter Aufwand bei Updates - zu 99% ändert sich nur Version und Hash -> kein Risiko (für diese Art von Angriff). Und wenn sich mehr als nur das ändert, dann muss man halt genauer hinschauen.
Nicht umsonst wird im Arch-Wiki mehrfach in dicken, roten Kästen betont, dass man die PKGBUILDS lesen und verstehen soll.

Das Problem ist eher, dass Cachy und co von Haus aus AUR-Helper - teilweise sogar mit GUI! - mitbringen. Und DAS ist in meinen Augen komplett unverantwortlich. User, die die PKGBUILDs nicht lesen und verstehen können/wollen, sollten das AUR nicht verwenden, Punkt.
Da sollte man bei den "einsteigerfreundlichen" Arch-Derivaten lieber Garudas Beispiel folgen und ein kuratiertes Extra-Repo anbieten, wo eine Auswahl von AUR-Paketen angeboten wird.

Tekkla schrieb:
Anders als beim AUR kann man bei Debian - und generell allen Distros mit Maintainern - die Commits auf Probleme abklopfen.
Zum Vergrößern anklicken....
Warum sollst du das beim AUR nicht auch können? Oo
 
Tekkla schrieb:
Ich sprach von einer zentralen Instanz und nicht von jeder hilft sich selbst.
Zum Vergrößern anklicken....

Dafür sind die normalen Repos da - und dort ist es bei Arch genau wie bei anderen Distros wie Debian ;)

Das AUR ist nunmal nicht dafür gedacht, dass man blind daraus ruminstalliert, sondern als einfache, unkomplizierte und komfortable Möglichkeit, PKGBUILDs mit anderen Usern zu teilen. Naturgemäß kann man dabei nicht auf die Vertrauensarchitektur der normalen Repos zurückgreifen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

U
CachyOS AUR: Skript für KI-Paket-Scan
Antworten
0
Aufrufe
297
ultramann
U
PCGH-Redaktion
News Erfolg von Linux mit Schattenseiten: "Nie dagewesene" Malware entdeckt
2 3
Antworten
52
Aufrufe
4K
Andreas1975
Andreas1975
PCGH_Sven
News Dirty Frag: CachyOS schließt Sicherheitslücken im Linux-Kernel
2
Antworten
26
Aufrufe
1K
_Oskar_
_Oskar_
PCGH_Sven
News Omarchy 3.5: Bildhübsche Linux-Distribution für Workstation-PCs
Antworten
18
Aufrufe
1K
Schinken
Schinken
PCGH_Sven
News ObsidianOS: Arch Linux mit A/B-Partition geht auf Nummer sicher
Antworten
1
Aufrufe
358
BenW
BenW
Oben Unten
Zurück