Arch Linux使用者儲存庫(Arch User Repository,AUR)中,被發現有3款套件存在惡意程式碼。由於這些套件缺乏活躍維護者,使得駭客有機可乘,透過Git對這些套件插入惡意程式碼。所幸透過程式碼分析發現了這些惡意行為,但AUR官方還是提醒,使用者不應過度相信社群程式碼儲存庫的安全性。

透過安全性調查發現,在6月7日,一個可以讓Arch Linux使用者開啟PDF文件的套件acroread,由於缺乏活躍維護者,被一個名稱為xeactor使用者,透過Git對其添加了惡意程式碼。

這些惡意程式碼會先從一個文字分享網站ptpb.pw下載名為~x的檔案,而這個~x檔案的功能,會下載並執行另一個名為~u的檔案,與此同時,~x也會對systemd進行修改增加計時器,每360秒執行一次~u檔案。不過,有趣的是,第二個下載來的~u檔案並不會執行太多的惡意行為,僅會收集受感染電腦的資料,並將這些資料透過客製化的金鑰,回傳至線上文字系統。

~u收集的資訊包含時間日期、電腦ID、CPU資訊、套件管理器Pacman的詳細資訊,以及uname -a和systemctl list-units兩個指令的輸出訊息。AUR官方表示,除此之外,沒有觀察到其他的惡意行為,也就是說acroread不具傷害用戶系統的行為。而且acroread中並不具備自動更新的能力,因此當xeactor要為惡意程式碼添加新的行為,勢必需要再度更新套件程式碼。

AUR官方還發現了儲存庫中另外兩個套件,也被感染的惡意程式碼,這些程式碼的行為與acroread中被增加的相似。現在這三個有問題的套件都已經被移除,xeactor的帳戶也被停用了。

類似的事件也發生在Ubuntu Snap商店,在5月時,首度發現一款名為2048buntu的小遊戲中,暗藏採礦程式,而當時官方Canonical發表公開聲明提到,由於資源有限,他們沒有辦法審查用戶上傳的所有程式碼,因此傾向於以信任作者的方式取代信任程式碼,因此會對安全的發行者授予信任標記。

而AUR是由Arch Linux社群驅動的套件儲存庫,開發者可以上傳套件程式碼,並由使用者自行建置套件。受Arch Linux官方信任的開發者Giancarlo Razzolini公開回覆郵件列表,回應對這個事件提出疑問的使用者,他提到AUR的網頁上有明顯的免責聲明,使用者應該要清楚自己所使用的東西,他也提醒用戶,只能從AUR下載PKGBUILD,並且使用自己建置的套件。過分相信AUR上的內容並非安全的作法。


Advertisement

更多 iThome相關內容