2025. július 16-án este, közép-európai idő szerint körülbelül 20 órakor egy rosszindulatú AUR-csomag került feltöltésre az Arch Linux közösségi tárolójába. Az első fertőzött csomagot néhány órán belül további kettő követte ugyanattól a felhasználótól. A vizsgálatok kimutatták, hogy mindhárom csomag egy olyan külső GitHub-tárolóból származó szkriptet telepített, amely egy távoli hozzáférést biztosító trójai programként (RAT) működött.
Tartalomjegyzék
Érintett csomagok és következmények
A fertőzött AUR-csomagok neve librewolf-fix-bin, firefox-patch-bin és zen-browser-patched-bin, amelyek nevében ismert böngészők „javított” vagy „frissített” változatára utaló elnevezések szerepelnek, ezzel is megtévesztve a gyanútlan felhasználókat. A telepítés során lefutó szkript shell környezetben működött, így a DLAGENTS mechanizmuson keresztül automatikusan futtatható volt. A rosszindulatú komponens rejtett módon nyitott távoli hozzáférést a fertőzött rendszerekhez.
Az Arch Linux team válaszlépései és felhasználói teendők
Az Arch Linux közösség gyorsan reagált a fenyegetésre, miután tudomást szereztek a történtekről. 2025. július 18-án, 18 órakor a három érintett csomagot eltávolították az AUR-ból. A közösség arra kéri a felhasználókat, hogy akik telepítették valamelyik említett csomagot, haladéktalanul töröljék azt a rendszerükről, és vizsgálják meg, történt-e kompromittálódás. A gyanús tevékenységek és jogosulatlan hálózati kapcsolatok nyomaival kapcsolatos ellenőrzés kiemelten fontos a biztonság helyreállítása érdekében.
Az AUR mint biztonsági kockázat
Az Arch User Repository (AUR) a közösség által karbantartott csomagok gyűjteménye, amely lehetőséget nyújt arra, hogy a hivatalos Arch Linux tárolókban nem szereplő szoftverek is egyszerűen telepíthetők legyenek. Ugyanakkor ez a nyitottság egyben súlyos biztonsági kockázatot is jelent. Mivel bárki feltölthet csomagot az AUR-ba, a benne szereplő PKGBUILD fájlokban és telepítési szkriptekben potenciálisan kártékony kód is elrejthető.
A csomagok nem esnek át olyan szigorú ellenőrzésen, mint a hivatalos repókba kerülő szoftverek, így a felhasználók saját felelősségükre használják őket. Egy egyszerű, automatikus makepkg vagy AUR helperrel történő telepítés során a telepítőszkriptek root jogosultsággal futhatnak le, ami különösen sebezhetővé teszi a rendszert. A mostani eset is jól példázza, hogy akár egy látszólag ártalmatlan név mögé bújtatott csomag is képes lehet teljes hozzáférést biztosítani egy támadó számára a fertőzött gépen keresztül. Emiatt kulcsfontosságú, hogy a felhasználók mindig átnézzék a PKGBUILD fájlokat telepítés előtt, ellenőrizzék a források megbízhatóságát, és részesítsék előnyben a közösség által karbantartott, népszerűbb csomagokat.
