Arch Linux unter Feuer: 400 Pakete im AUR kompromittiert

Angreifer haben in den vergangenen Stunden das Arch User Repository (AUR) missbraucht und Schadsoftware in den Installations­skripten versteckt. Die Arch-Linux-Entwickler sind dabei, die betroffenen Pakete zu löschen und die beteiligten Accounts zu sperren. Nutzer regulärer Arch-Linux-Pakete sind nicht betroffen.

Was ist das AUR?

Das Arch User Repository, kurz auch AUR genannt, ist eine Sammlung von Skripten mit Installations­anleitungen für zahlreiche Programme. Oftmals wird sie von Entwicklern der Programme selbst gepflegt oder aber auch von Freiwilligen. Dadurch ist es möglich, dass auch weniger versierte Nutzer Programme unter Arch Linux und darauf aufbauenden Distributionen installieren können, ohne sich selbst mit dem Build-Prozess auseinander­setzen zu müssen. Das ist insbesondere dann der Fall, wenn die gewünschte Software nicht direkt in den Paketquellen zu finden ist oder aber um bestimmte Funktionen erweitert werden soll. Bekannte Beispiele sind dafür der Brave Browser oder als Erweiterung für OBS-Studio die Browser-Source.

CachyOS & Manjaro mit AUR

Normalerweise kommt man als Arch-Linux-Nutzer nicht mit dem AUR in Berührung. Der eigene Paketmanager pacman kann keine Pakete aus dem AUR installieren. Dafür müsste der Nutzer die Software erst selbst kompilieren oder aber auf einen AUR-Helper zurückgreifen. Entsprechend sind Nutzer, die keine Pakete abseits der offiziellen Paketquellen installieren, nicht von dem Angriff betroffen.

Doch gerade auf Arch Linux aufbauende Distributionen wie CachyOS machen den Zugriff auf das AUR einfacher, da dort grafische Installations­programme zum Einsatz kommen und sich entsprechende Software mit wenigen Klicks installieren lässt.

Angriff über npm

Der Ablauf des Angriffs lässt sich schnell zusammenfassen. Die Installations­skripte wurden um npm als Abhängigkeit ergänzt und die Build-Anleitung um ein bösartiges npm-Paket erweitert. Das schadhafte atomic-lockfile wird dann während des Build-Prozesses beim Ausführen von npm install gestartet.

Ersten Analysen zufolge sammelt die Schadsoftware Daten aus Browsern respektive deren Profilen, darunter Chromium-basierte Browser wie Brave, Vivaldi, Opera, Microsoft Edge und Google Chrome. Auch Electron-Pakete sind betroffen, darunter Microsoft Teams, Discord und Slack. Der Schädling versucht ebenfalls Accountdaten für GitHub, npm und ChatGPT abzugreifen.

Mehr Informationen und Hintergründe finden sich in der Analyse auf ioctl.fail.

Über 400 Pakete infiziert

Wie der Mailingliste des Arch-Linux-Projekts zu entnehmen ist, wurden bereits über 400 Pakete mit den schadhaften Änderungen identifiziert.

Das CachyOS-Projekt stellt auch ein Skript bereit, um das eigene System schnell auf besagte Programme hin zu untersuchen.

Im Rahmen des Angriffs betonen die Entwickler erneut die Wichtigkeit, AUR-Skripte vor dem Herunterladen und Nutzen auf schädliche Kommandos hin zu überprüfen und nicht beliebige Sachen aus dem AUR zu laden.

Die Redaktion dankt für die zahlreichen Einsendungen über die aktuellen Entwicklungen.