کشف یک رویداد دیگر نشان میدهد که شما نباید بهصراحت به مخازن نرمافزاری کنترلشده توسط کاربر اعتماد کنید. لینوکس پس از کشف کدهای مخرب در یکی از محبوبترین توزیعهای خود بهنام Arch Linux، ۳ مخزن نرمافزاری AUR که توسط کاربر کنترل میشوند، را غیرفعال کرد.
Arch Linux که بهصورت مستقل توسعه یافته، یک توزیع GNU/Linux است که عمدتا از نرمافزارهای رایگان و متنباز تشکیل شده و از مشارکت اجتماعی پشتیبانی میکند. کاربران Arch Linux میتوانند بستههای نرم افزاری را علاوه بر مخازن رسمی مانند (Arch Build System (ABS، از چندین مخزن دیگر، از جمله Arch User Repository (AUR) نیز دانلود کنند. AUR مخزنیست که توسط کاربران Arch Linux ایجاد و مدیریت میشود.
از آنجاییکه محتوای بستههای AUR توسط کاربر تولید میشود، نگهدارندهی Arch به کاربران لینوکس توصیه میکنند که همیشه تمام فایلها، بهویژه PKGBUILD و هر فایل نصب کردنی را از وجود دستورهای مخرب بهدقت بررسی نمایند. با این حال، اخیرا در چندین مورد از جمله یک PDF Viewer، وجود کدهای مخرب در مخزن AUR مشاهده شده است.
کشف PDF Viewer آسیبدیده در مخزن AUR متعلق به توزیع Arch لینوکس
در تاریخ ۷ ژوئن، یک کاربر مخرب با نام مستعار «xeactor» یک بستهی orphaned (نرمافزار بدون نگهدارندهی فعال) به نام «acroread» را ایجاد کرد و آن را برای افزودن کد مخرب تغییر داد. این بستهی نرمافزاری بهصورت یکPDF Viewer ظاهر شده است. xeactor بهازای اجرای هر گیت، یک کد مخرب به کد منبع بسته اضافه کرد که یک اسکریپت curl را دانلود کرده و این اسکریپت به نوبهی خود، یک اسکریپت را از سرور راه دور نصب و اجرا میکند.
این اسکریپت یک نرمافزار پایدار را نصب میکند که «systemd» را تغییر داده و بهمنظور اجرای آن در هر ۳۶۰ ثانیه، آن را مجددا پیکربندی میکند. تحقیقات نشان داد که این اسکریپت مخرب برای جمعآوری دادهها از سیستمهای آلوده طراحی شده است که این دادهها عبارتند از:
• تاریخ و زمان
• شناسهی دستگاه
• اطلاعات Pacman (ابزار مدیریت بسته)
• خروجی دستور «uname-a»
• اطلاعات پردازنده
• خروجی دستور «systemctl list-units»
سپس دادههای جمعآوری شده به یک سند Pastebin ارسال میشوند.
محققان با تجزیه و تحلیل این کد، تغییرات آن در طول زمان را بهدست آورده و اعلام کردند که این اسکریپتها ظاهرا یک تهدید جدی نیستند، اما مهاجم میتواند در هر زمان باردادهها را برای اضافه کردن کدهای مخرب دستکاری کند. به محض کشف شدن این کد مخرب، نگهدارندههای AUR تغییرات اعمال شده در بسته را غیرفعال کرده و حساب کاربری xeactor را بهحالت تعلیق درآوردند. همچنین ۲ بستهی دیگر که اخیرا توسط xeactor به همان شیوه مورد استفاده قرار گرفته و اصلاح شده بود، نیز کشف شد.
کشف بستههای نرمافزاری مخربتر
گروه AUR همچنین ۲ بستهی دیگر را بدون افشای نام آنها حذف کرد. بنابراین، اگر شما نیز یکی از کاربران Arch Linux بوده و اخیرا بستهی «acroread» را دانلود کردهاید، بهشدت توصیه میکنیم که آن را حذف نمایید. درحالیکه این نقض امنیتی یک تهدید جدی برای کاربران لینوکس محسوب نمیشود، اما این رویداد موجب شد که در مورد امنیت بستههای نرمافزاری غیرقابل اعتماد بحث شود. بنابراین، کاربران باید قبل از دانلود هر مخزن کنترلشده توسط کاربر، آن را بهدقت بررسی کنند.