В 1579 пакетах Arch Linux обнаружили вредоносные коммиты

В пользовательском репозитории AUR Arch Linux обнаружилось более 400 пакетов, заражённых вредоносным ПО. Изначально разработчики посчитали, что все они были исправлены, но в итоге число таких пакетов превысило 1500.

Разработчики сообщили в ветке обсуждения инцидента, что удалили все известные им вредоносные коммиты. Там же приводится список пакетов, число которых достигло 1579. 

Однако даже в примечании к этому списку говорится, что он «содержит многие (но не все) затронутые пакеты». 

Отмечается, что официальные репозитории Arch Linux не пострадали, проблема затронула именно AUR. Это пользовательский каталог пакетов, который поддерживает сообщество. Через него пользователь часто получает не готовую программу, а инструкции, откуда скачать исходный код, какие зависимости установить и какие команды выполнить. 

Компания Sonatype назвала кампанию Atomic Arch. Хакеры искали заброшенные пакеты без активного сопровождающего, и брали их на сопровождение. Затем они меняли PKGBUILD или сценарии установки .install.

Атака не использовала уязвимость в Arch Linux и не требовала взлома инфраструктуры дистрибутива. Вредоносный код запускался уже на этапе сборки. 

Хакеры добавляли установку пакета atomic-lockfile из npm с предустановочным сценарием preinstallatomic-lockfile 1.4.2 в сценарии preinstall, который запускал вложенный исполняемый файл для Linux с именем deps. Среди подтвержденных примеров упоминались alvr и premake-git. 

Независимый исследователь Whanos выяснил, что deps представляет собой написанный на Rust стилер, направленный на рабочие станции разработчиков и сборочные окружения. Он собирает данные из браузеров на базе Chromium, включая Chrome, Edge и Brave, вытаскивает сессии из приложений на Electron вроде Slack, Discord и