Über 400 Arch AUR Pakete mit Malware verseucht

[digdib]

Ich hoffe das ist der richtige Platz hier für so eine Info. Aber ich denke das könnte für einige hier vielleicht interessant sein.

Böse Mächte haben mal wieder Arch-User ins Visier genommen und Stand jetzt über 400 AUR-Pakete mit Malware ausgestattet. Man sollte also in nächster Zeit mit seinen Updates etwas vorsichtig sein.

https://www.phoronix.com/news/Arch-Linux-AUR-400-Compromised
https://discuss.cachyos.org/t/aur-compromised-400-packages-affected-20260611/31040
https://forum.garudalinux.org/t/chaotic-aur-packages-requests-recompilation-reports/26/1238
https://lists.archlinux.org/archive....org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/

 

[Termy]

Man sollte also in nächster Zeit mit seinen Updates etwas vorsichtig sein.

Falsch.
Man sollte IMMER vorsichtig sein, wenn man das AUR verwendet

Wenn man schon AUR-Helper benutzt, dann sollte man als allermindeste Basis-Absicherung bei Updates die Diffs anschauen - und wenn dort mehr als nur die Version und Hashes geupdated werden, dann sollte man weiter checken.

Genau so etwas wie hier ist der Grund, warum ich absolut kein Fan davon bin, dass das AUR in grafischen Paketmanagern wie Pamac o.ä. verfügbar gemacht wird - in meinen Augen absolut unverantwortlich gegenüber den technisch unbedarften Usern...

 

[digdib]

@Termy Da gebe ich dir Recht, muss aber auch selbst gestehe ein Update bei mir ist nur yay -Syu + Enter drücken. Der Rest ist bis jetzt das Vertrauen in das Gute im Menschen gewesen.

Noch zur Info, in dem CachyOS Forum Post wird auf ein Script verlinkt, welches schnell überprüft, ob auf dem eigenen System eines der bekannten verseuchten Pakete installiert ist.

https://discuss.cachyos.org/t/aur-compromised-400-packages-affected-20260611/31040

 

[|Moppel|]

Die automatisch angezeigten Diffs zu checken dauert nicht mal eine Sekunde.

Wenn was außerhalb der Norm geändert wurde fällt das sofort auf.

 

[Derduke]

Wie sieht denn eine veränderte pkgbuild aus?

Ich mein woran erkennt der technische weniger versierte User, eine veränderte Build?

 

[Termy]

woran erkennt der technische weniger versierte User, eine veränderte Build?

Es wurde wohl meist eine .install oder install.sh File ergänzt, welche den Hook für die Installation von npm/bun und der restlichen Malware-Kette beinhaltet. Ausserdem sind eben bun oder npm in den Deps dazu gekommen.
Siehe z.b. https://aur.archlinux.org/cgit/aur....r&id=cf0b627a6c36be967411063e2e2629f80bb6d51f oder https://aur.archlinux.org/cgit/aur.git/commit/?h=rgain3&id=985c80c6827c842ed8a1396f860bdf0007a539cc

So ganz generell sollte man bei AUR-Updates - wie oben schon gesagt - aber immer stutzig werden und genauer kontrollieren, wenn mehr als die Version und der Hash geändert wurden.

 

[Grimba]

Leider ist das Katz und Maus Spiel zwischen den AUR Leuten und den Bösewichten noch im vollem Gange. Es werden nach wie vor neue betroffene Pakete gemeldet. Bisher gibt es offenbar noch keine bessere bzw. eindeutigere Prüfmöglichkeit, ob man betroffen ist oder nicht, als die Namen der Pakete und der entsprechende Installationszeitraum.

Der zweite Link des Eingangsposts liefert zumindest einen ersten Aufschlag eines Users im CachyOS Forum, der ein Script aktuell hält mit den Paketnamen, so dass man zumindest anhand desse prüfen kann, ob man bereits betroffen ist, oder nicht.

Natürlich sollte hier RICHTIGERWEISE auch die Alarmglocke im Hinterkopf losklingeln bei einem Remote Script. Sowas ist natürlich auch immer mit Vorsicht zu genießen. Auch von mir als Post hier! Daher bitte zuerst Zusammenhang prüfen mit den zweiten Link oben im Eingangspost! Und man kann es sich natürlich vorher auch anschauen. https://cscs.pastes.sh/aurvulntest20260611.sh .

Der User, von dem es stammt, ist allerdings Mod im CachyOS Forum und bedenkt man die Augen, die derzeit alle gleichzeitig draufgucken, weil ja gerade die Arch Community brennt, würde ich hier eine hinreichende Vertrauensbasis unterstellen.

Aktuell ist da viel Bewegung im Forum, derzeit brennt da die Hütte. Kein Wunder.

curl -s https://cscs.pastes.sh/raw/aurvulntest20260611.sh | bash

 

[mibbio]

curl -s https://cscs.pastes.sh/raw/aurvulntest20260611.sh | bash

Also einfach so den Download eines Scripts mit unbekanntem Inhalt aus dem Internet direkt in Bash zu pipen und damit ungeprüft auszuführen ist aber auch fahrlässig.

 

[Samurai76]

Deswegen hat der Kollege darüber den Link, wo man das script prüfen kann. Da dieses script wirklich einfach aufgebaut ist, braucht man nicht viele Kentnisse, um dieses zu prüfen (eine Liste+zwei Schleifen und Ausgabe, habe sogar ich als Linux Noob geschafft^^).

 

[Grimba]

@mibbio auf all das bin ich in meinem Post eingegangen. Vor der Beschwerde auch bitte lesen.