Hinweis: Malware im AUR

[sedot]

Falls ihr das AUR nutzt und es noch nicht mitbekommen habt, es sind bzw. waren mehrere Pakete von der Malware CHAOS-RAT betroffen. CHAOS-RAT ist ein remote access trojaner mit dem u.a. Dritte Zugriff auf das gesamte Dateisystem haben.

Identifiziert wurden;

librewolf-fix-bin
firefox-patch-bin
zen-browser-patched-bin

Außerdem vermutlich auch

minecraft-cracked
ttf-ms-fonts-all
vesktop-bin-patched
ttf-all-ms-fonts

Quellen;
https://lists.archlinux.org/archive....org/thread/7EZTJXLIAQLARQNTMEW2HBWZYE626IFJ/
https://www.bleepingcomputer.com/ne...ur-packages-that-installed-chaos-rat-malware/
https://feddit.org/post/15956805
https://www.reddit.com/r/archlinux/comments/1m387c5/aurgeneral_security_firefoxpatchbin/

 

[kieleich]

Ja gut das ist schnell aufgefallen. Der Typ hat seine Pakete im Reddit beworben und da haben paar Leute drauf geschaut. Und weg wars. Auch die minecraft ttf Dinger wurden innerhalb 24h hochgeladen und wieder gelöscht. Wer installiert das ...

Trotzdem gilt beim AUR immer. Da kann immer was sein. Wers nicht unbedingt braucht oder keine PKGBUILD liest sollte besser drauf verzichten. Bei Github sourcen auch immer schauen wie alt ist das Projekt auf Github und wieviel Aktivität ist da. Ein inoffizielles Repo hat auch jeder mal schnell erstellt

Linux ist sehr sicher - bis man die Malware, selber runter lädt und installiert :-)

 

[mibbio]

Und man sollte sich bei AUR halt auch immer bewusst sein, dass es kein offizielles, vom Arch Team betreutetes/moderiertes Repository ist, sondern ein reines Community-Repo - mit allen Vor- und Nachteilen.

 

[sedot]

Der Post ist nur zur Info gedacht, ich hoffe den meisten AUR Usern sind die Vor und Nachteile bekannt. Bestenfalls erhöht der Post nebenbei bei Newbies etwas die Aufmerksamkeit nicht immer allem zu vertrauen, weil Linux etc. etc.

Im Grunde kann sowas in jeder Repository passieren, die der Allgemeinheit offen steht, unabhängig von der Distribution.

 

[Termy]

ich hoffe den meisten AUR Usern sind die Vor und Nachteile bekannt

Wenn man sich anschaut, wie beliebt z.b. Chaotic AUR ist, dann bezweifle ich das leider ganz ganz stark 💩

Ich sage auch immer: AUR Pakete sollte man nur installieren, wenn man den PKGBUILD gelesen und verstanden (!) hat. Selbst, wenn man einen Helper wie z.b. yay benutzt bieten diese eigentlich alle die Möglichkeit, den PKGBUILD zu kontrollieren bzw bei Updates ein Diff anzuzeigen - und das sollte auf jeden Fall genutzt werden.

Klar, schützt nicht vor Malware in den Source-Repositories, aber dort ist die Hürde halt doch etwas höher als beim AUR...

 

[benni777]

Selbst, wenn man einen Helper wie z.b. yay benutzt bieten diese eigentlich alle die Möglichkeit, den PKGBUILD zu kontrollieren bzw bei Updates ein Diff anzuzeigen - und das sollte auf jeden Fall genutzt werden.

Könntest du denjenigen (und mir), die hiermit wenig Erfahrung haben, etwas genauer erläutern, worauf man hierbei achten sollte?

Danke!

 

[kieleich]

ich hoffe den meisten AUR Usern sind die Vor und Nachteile bekannt

Es wird halt nur, auf der Hauptseite, in einem Disclaimer, darauf hin gewiesen

Auf den einzeln Paketseiten, also das was direkt verlinkt wird. Steht so eine Warnung nicht noch einmal

Arch erwartet das die User selber wissen was sie tun

Könntest du denjenigen (und mir), die hiermit wenig Erfahrung haben, etwas genauer erläutern, worauf man hierbei achten sollte?

PKGBUILD sind meistens recht einfach gestrickte Skripte die den Build durch führen (z.B. configure, make, make install). Manchmal auch mit Patches usw

und dann muss man eben schauen. was wird da gemacht. was wird da gepatcht. was steht in den patches drin

ohne ein klein wenig Programmier Erfahrung Verständnis kommst du da als Laie nicht weiter es sei denn es ist wirklich total offensichtlich und gar nicht versteckt.

Man muss dazu auch sagen daß selbst für Cracks, irgendwelche versteckte Backdoors, alles andere als offensichtlich sind. Bei openssh (-abhängigkeit) hat es ja fast einer geschafft das rein zu schmuggeln, der ist aufgefallen weil er zu ungeduldig war sonst wär das womöglich durch gegangen.

Arch hat zum Glück eine vergleichsweise große Community. Und alle andern verlassen sich drauf das da schon mal jemand anders rein geschaut hat

Neben Malware haben die PKGBUILDs oft auch ganz schlicht und einfach Bugs. Aber dann hast du ein kaputtes Paket keine Malware

 

[Termy]

Könntest du denjenigen (und mir), die hiermit wenig Erfahrung haben, etwas genauer erläutern, worauf man hierbei achten sollte?

Also beim ersten Installieren und dem entsprechend detaillierten Kontrollieren bleibt wohl kaum etwas anders übrig, als sich etwas mit https://wiki.archlinux.org/title/Creating_packages# auseinander zu setzen.
Wie kieleich schon sagt wird das aber ohne etwas Know-How eher schwer 💩

Bei Updates kontrolliere ich z.b. im Diff als erstes, ob sich z.b. nur die Version und der Hash geändert hat - dann wurde zumindest am AUR-Paket nichts manipuliert (die Möglichkeit, dass im original Repo was bösartiges gemacht wurde bleibt wie gesagt natürlich).
Auch generell ist es wohl einfacher, die Änderungen zu verstehen, als den kompletten PKGBUILD auf einmal verdauen zu wollen

In der Regel fallen Unstimmigkeiten ja auch schon sehr schnell auf - wenn man also wenigstens bei Updates kontrolliert, dann hat man schon sehr viel Angriffsfläche bzw Anfälligkeit rausgenommen.

 

[sh.]

Ich sage auch immer: AUR Pakete sollte man nur installieren, wenn man den PKGBUILD gelesen und verstanden (!)

Sind wir mal ehrlich, das machen doch die allerwenigstens. Die meisten benutzen Arch oder Arch Derivate wegen AUR und die allerwenigstens lesen sich den PKGBUILD.

 

[sedot]

Es wird halt nur, auf der Hauptseite, in einem Disclaimer, darauf hin gewiesen

Natürlich. Andererseits gibt auch Newbies die möglicherweise noch nicht ganz so bewandert sind. Oder diejenigen die ein Derivat und das AUR nutzen. Und so weiter.

Es ist ein Hinweis – meine Intention war nicht, das AUR oder Arch in irgendeiner Form zu kritisieren. Unter denjenigen die wissen worauf zu achten ist wird die Zahl der Betroffenen sehr klein sein, wenn überhaupt.

 

[mibbio]

Wenn man sich anschaut, wie beliebt z.b. Chaotic AUR ist, dann bezweifle ich das leider ganz ganz stark

Beim Chaotic AUR verhält es sich aber schon noch etwas anders. Denn dass ist ein kuratiertes Repo mit gebauten Paketen aus dem AUR. Da steht ein (kleines) Team aus Freiwilligen hinter, die das Repo betreuen.

Ich gehe mal davon aus, dass die nicht einfach nur eine Liste an AUR-Paketen verwalten, die sie als fertige Pakete im Repo anbieten, sondern sich auch die einzelnen PKGBUILDs ansehen (und bei Auffälligkeiten ggf. reagieren).

 

[Holzinternet]

Danke für all die Erläuterungen ! Ernst gemeint ! Ein weiterer Grund warum ich mich nicht mit Linux und den gefühlten drölftausend Systemen auseindersetzen mag. Liest sich als wenn ich das OS auf Kernebene verstehen müsste. Mir persönlich viel zu aufwendig und wie hier aufgezeigt auch manipulierbar.

Habe überlegt für meine alte Hardware auf ein Linux zu gehen aber dann lieber Rufus und W11 solange es geht.

Dennoch oder gerade hierfür vielen Dank !

Gruß
Holzinternet

 

[andy_m4]

Natürlich. Andererseits gibt auch Newbies die möglicherweise noch nicht ganz so bewandert sind.

Ich würde mal vermuten, das Newbies jetzt nicht die bevorzugten Nutzer von Arch sind.

und bei Auffälligkeiten ggf. reagieren

Heutzutage kann man ja auch durchaus mal eine KI drüberjagen. Das ist jetzt auch alles andere als ein 100%-Schutz. Bringt aber vielleicht mehr als die gängige Praxis, da allenfalls oberflächlich drüber zu schauen.

 

[Termy]

Denn dass ist ein kuratiertes Repo mit gebauten Paketen aus dem AUR. Da steht ein (kleines) Team aus Freiwilligen hinter, die das Repo betreuen.

Ich will nicht ausschließen, dass ich mich täusche, aber ich bin der Meinung, dass die einfach nur aus den AUR-PKGBUILD fertig kompilierte Pakete bereitstellen - wenn ich damit falsch liege, dann habe ich den Jungs mit dem Satz natürlich Unrecht getan

Liest sich als wenn ich das OS auf Kernebene verstehen müsste. Mir persönlich viel zu aufwendig und wie hier aufgezeigt auch manipulierbar.

Arch Linux richtet sich aber eben auch an eher erfahrenere bzw lernwilligere User.
Du beschwerst dich ja auch nicht, dass es so kompliziert ist, Auto zu fahren und man ja erstmal alles lernen müsste, nachdem du dir ein Kitcar-Bausatz gekauft hast, oder?

 

[kieleich]

Ein weiterer Grund warum ich mich nicht mit Linux und den gefühlten drölftausend Systemen auseindersetzen mag.

Naja was ist die Alternative

bei Windows hast du den Spass bei jedem einzelnen Download

du weisst nie was das ist oder was das macht und Sourcen gibts erst gar keine

Sicherheitskonzept Augenbinde und Blindflug

ist wie ein Auto bei dem man die Motorhaube nie aufmachen darf um mal rein zu schauen was los ist

 

[andy_m4]

Mir persönlich viel zu aufwendig und wie hier aufgezeigt auch manipulierbar.

Naja. Immerhin hast Du die Möglichkeit reinzuschauen bzw. gucken da überhaupt Leute drüber.
Bei Windows ist das ja überhaupt nicht der Fall. Zudem hast Du bei Windows ja schon eine jahrzehntelange Malware-Historie.
Dann Linux abzulehnen, weil das hier und da mal vereinzelt vorkommt, ist lächerlich.

Ein weiterer Grund warum ich mich nicht mit Linux und den gefühlten drölftausend Systemen auseindersetzen mag.

Musst Du ja nicht. Arch ist eh ein System was sich an Kenner richtet.
Fir die Will-meinen-Computer-einfach-nur-benutzen-Fraktion gibts ja ubuntu und Co.

 

[sedot]

Ich würde mal vermuten, das Newbies jetzt nicht die bevorzugten Nutzer von Arch sind.

Es gibt eine Reihe von Arch-Derivaten die ein „leichteres“ Arch Erlebnis versprechen, das AUR ist oft optionaler Teil dieser Distributionen. Arch selbst hat auch einen Newbie Corner im Forum.

 

[Holzinternet]

Ich will ja auch niemanden das OS schlecht reden... Also nicht falsch verstehen. Das ist ja auch meine Meinung und muss nicht Eure sein. Deshalb haben wir hier ja ein Forum.

Für mich ist das nix. Für Euch schon und das ist auch in Ordnung.

Hab nen schönes WE und viel Sonne.

Gruß
Holzinternet

 

[rollmoped]

Deshalb benutze ich nichts Arch-basiertes und empfehle es auch niemandem. Das was hier passiert ist, habe ich so erwartet, weil ich kein großes Vertrauen in die Paketqualität von AUR habe. Für mich sehen Paketinstallationsroutinen dort wie einfache Shellscripte aus, ohne stark standardisierte Verfahren.

Das sorgt zwar dafür, dass jeder schnell Pakete beitragen (beiscripten) kann, und somit viel mehr Pakete als auf anderen Distributionen verfügbar werden, die kompliziertere Prozesse haben, aber genau darin liegt auf der anderen Seite auch ein Problem.

 

[mibbio]

Deshalb benutze ich nichts Arch-basiertes und empfehle es auch niemandem. Das was hier passiert ist, habe ich so erwartet, weil ich kein großes Vertrauen in die Paketqualität von AUR habe.

Das ist aber jetzt kein Grund dafür, von Arch oder darauf basierenden Distributionen abzuraten. Denn das AUR gehört ja nicht zu den Standard-Paketquellen, sondern ist rein optional (und mit einem entsprechjenden Disclaimer versehen). So lange man nur die offiziellen Repos von Arch (oder der jeweiligen arch--basierten Distribution) verwendet und das AUR komplett ignoriert, ist Arch hinsichtlich der Vertrauenswürdigkeit auch nicht besser oder schlechter als jede andere Distribution. Kritisch kann man es halt bei arch-basierten Distributionen sehen, die das AUR default mit einbinden, ohne den Nutzer auf die Risikien hinzuweisen.

Ansonsten müsste man mit der Logik ja auch von Ubuntu und entsprechenden Derivaten abraten, da man dort über PPAs Pakete ins System holen kann, deren Qualität und Vertrauenswürdigkeit potentiell fragwürdig ist.

Im Endeffekt kann man bei jeder Distribution Probleme bekommen, wenn man Pakete aus inoffiziellen Quelllen/Repos installieren kann - also von fast jeder Distribution abraten.