Passano gli anni, ma i problemi di sicurezza sono sempre gli stessi: tre pacchetti AUR di Arch Linux installano un trojan

Raoul Scarazzini

Quando ho letto la notizia riportata da Linuxiac a proposito di tre pacchetti contenenti malware presenti nei repository AUR di Arch Linux ho avuto una sensazione di déjà-vu.

Prima di procedere, per chi non è avvezzo, i repository AUR (Arch User Repository) contengono pacchetti creati e mantenuti da utenti terzi. Sono l’equivalente Arch delle PPA (Personal Package Archives) di Ubuntu: in entrambi i casi si tratta di fonti esterne non ufficiali che permettono di installare software in modo semplice e rapido, spesso anticipando i tempi dei repository ufficiali o offrendo pacchetti non disponibili altrove.

Ci sono però delle differenze. Mentre le PPA sono ospitate su una piattaforma centralizzata (Launchpad, la piattaforma di Canonical) e soggette ad almeno un minimo di tracciabilità, gli AUR sono spesso distribuiti tramite repository Git personali o mirror non verificati, con un livello di controllo pressoché nullo. Questo li rende estremamente utili, ma anche pericolosi.

Ora, prima di scrivere questo articolo, ho fatto una ricerca nel portale e mi sono reso conto di come, già nel luglio del 2018 (casualmente sempre in questo periodo dell’anno), avevamo raccontato di un malware trovato nei repository AUR in un articolo di Elena Metelli.

Cosa è cambiato negli ultimi sette anni? Nulla.

La storia, ahi noi, è sempre la stessa: tre pacchetti, inizialmente librewolf-fix-bin, e poi firefox-patch-bin e zen-browser-patched-bin, quindi tutti inerenti alla categoria browser, contenevano un Remote Access Trojan (RAT) nascosto in uno script che veniva scaricato da un repository GitHub.

Cosa può causare un trojan di questo tipo? Le solite cose: pieno controllo su un sistema infetto, furto di dati, installazione di malware aggiuntivi o semplicemente spiare gli utenti.

Chiaramente il team di sicurezza di Arch Linux ha risposto prontamente non appena sono venuti a conoscenza del problema. Già il 18 luglio, tutti e tre i pacchetti dannosi sono stati rimossi da AUR, ma il problema ovviamente riguarda chi ha installato uno di questi prima della loro rimozione.

In questo caso i pacchetti andranno rimossi manualmente il prima possibile ed ovviamente andranno controllati i sistemi, alla ricerca di segni di compromissione: attività insolite della rete, processi imprevisti o file sconosciuti.

E qui arriva la parte interessante da analizzare.

Arch non è mai stata considerata una distribuzione per neofiti ed ha un “costo di ingresso” piuttosto alto. Per assurdo, potrebbe essere proprio questo aspetto ad aver inciso sul fatto che gli AUR vengano installati con leggerezza.

In poche parole, potrebbe essere che il pensiero sia “È roba da tecnici, figurati se qualcuno pensa ai malware“.

Eppure è quello che è successo.

Installare da un AUR è un atto di fiducia cieca nei confronti del codice binario, che verrà eseguito con privilegi di root, senza alcuna garanzia di sicurezza o affidabilità.

Terreno fertile per potenziali attaccanti, anche su distribuzioni non così accessibili o popolari. Del resto ora che il Desktop Linux ha bucato il 5%

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , ,

11 risposte a “Passano gli anni, ma i problemi di sicurezza sono sempre gli stessi: tre pacchetti AUR di Arch Linux installano un trojan”

  1. Avatar Autodelta85
    Autodelta85

    Questione di lana caprina per certi versi.
    Purtroppo usando gli AUR sai o dovresti sapere che qualche rischio c'è, inutile far finta di nulla e come dici giustamente tu nell'articolo parliamo di "roba" assolutamente non verificata, non è il firefox.exe scaricato dal sito ufficiale perchè gli aggiornamenti automatici non mi vedono ancora Firefox 141 e sono fermo alla 140.0.4

    Il punto secondo me è che Arch è diventata una distro "troppo" popolare e questo l'ho già ripetuto più volte. Ormai Arch "è di moda" complice sopratutto Steam OS e tanti youtuber dalle dubbie qualità e capacità che per sentirsi fighi installano "la distro difficile", che poi difficile non lo è affatto sopratutto alla luce di come hanno lavorato sull'installer nelgi ultimi anni, caso mai nel 2003 era davvero difficile installarla.

    Arch resta se non la migliore una delle migliori distro per quanto mi riguarda, ma devi sapere quello che fai, un pò come con Slackware, infatti esistono delle ottime derivate di Arch che fanno il "lavoro sporco" per l'utente non preparato ma non rinunciano alle prestazioni e alla leggerenzza della Arch originale.

  2. Avatar Giok
    Giok

    Il mio amore per Linux è iniziato con Slackware e la scelta della distro non fu casuale bensì dettata da una specifica esigenza: imparare.

    Detto questo, se non ci sono specifiche "esigenze didattiche", secondo me è meglio puntare su distro con pacchetti controllati e verificati piuttosto che andare ad installare roba di dubbia provenienza perché non si hanno il tempo e/o le capacità di compilarsele in maniera autonoma.

  3. Avatar Autodelta85
    Autodelta85

    Esattamente, anche per tornare al discorso fatto altrove del perchè sono quanto meno necessarie più distro: ognuna ha un pò il suo scopo.

    Che poi….nulla vieta di installare una Arch bleeding edge e usare pacchetti AUR, solo io non lo farei sul mio server o sul mio sistema principale, su una VM o su un Beelink da 99€ si

  4. Avatar JaK
    JaK

    Io aggiungerei solo due punti di riflessione su questo articolo.

    Il primo è che Arch è diventata più popolare e (se non sbaglio), la distro di riferimento per la SteamDeck, la console portatile di Valve.

    Secondo è che ciò che vale per i repository AUR vale anche per i crate di Rust, per i package Conan/Vpkg per C++ e per tutti quei repository di pacchetti che non hanno nessun controllo sulla qualità.

    Ahimè, non sono più gli anni ‘90 e non ci si può più fidare ciecamente.

  5. Avatar Black_Codec
    Black_Codec

    Le librerie di python sono state oggetto di diversi problemini di sicurezza…

  6. Avatar Black_Codec
    Black_Codec

    Salvo poi andare ad aggiungere repository di terze parti o peggio ancora scaricare rpm/deb dai siti a la Windows style…

  7. Avatar sixpounderPCG
    sixpounderPCG

    arch senza aur e passa la paura tanto non serve più a una ceppa oltre che distruggerti il sistema

  8. Avatar sixpounderPCG
    sixpounderPCG

    ma che moda è fedora la distro che va di moda e arch senza aur è usabilissimo

  9. Avatar Simen
    Simen

    Beh sarà solo questione di tempo prima che nascano dei controlli qualità basati su AI, gli sviluppatori saranno obbligati a inviare lì il codice per la revisione e se non va bene sarà rifiutato.

  10. Avatar Autodelta85
    Autodelta85

    Se leggi bene non ho affatto detto che Arch non è usabile o fa schifo, io stesso usavo Arch in passato e ora sono su Cachy OS perchè il tempo di dedicare all'informatica che ho sono circa 15 minuti al giorno e quindi volevo andare su qualcosa di più pronto all'uso.

    Però è innegabile che Arch da distribuzione di ultra nicchia in passato (forse a livello di Slack e Gentoo) oggi sia molto più "popolare" un pò perchè la distro è cambiata (installer in primis) un pò perchè comunque l'utilizzo di Arch come Steam OS e le prestazioni delle sue derivate hanno portato popolarità alla distro.

    Non giriamoci attorno: oggi su YouTube forse è più immediato trovare video del ragazzino che si bulla ad aver installato Arch che non Ubuntu…15 anni fa era il contrario e infatti la popolarità ha totalmente fatto sbandare Ubuntu negli anni

  11. Avatar sixpounderPCG
    sixpounderPCG

    no è piu popolare fedora al momento e il fatto che steam os usa arch non c’entra anche perchè il 90 % di chi usa steam deck neanche lo sa.anch’io uso cachy os e non uso aur infatti sono mesi che l’ho messo e funziona tutto perfetto tra l’altro è una non notizia dato che nessuno va a scaricarsi firefox da aur e c’è anche la cosa che controllando il pkg build te ne accorgi se c’è qualcosa che non quadra se poi chi usa aur non lo fa fatti suoi però è una non notizia e comunque ci hanno messo 2 secondi a sgamarli pure in quel caso

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3243) Saturday's Talks (54)

Tag cloud

ai (77) AlmaLinux (34) Android (34) Bug (81) Canonical (86) CentOS (48) Cloud (63) container (52) Controversia (46) Debian (104) desktop (34) docker (65) Fedora (63) Firefox (37) GitHub (77) Gnome (36) Google (89) IBM (56) Intel (56) KDE (42) Kernel (266) Kubernetes (100) Linux (773) LTS (36) Malware (69) Microsoft (195) MicrosoftLovesLinux (37) Mozilla (37) open-source (426) Openstack (58) Oracle (35) Patch (36) Red Hat (176) Release (66) RHEL (44) Rust (39) SaturdaysTalks (52) Sicurezza (121) Software (43) SUSE (42) systemd (78) Torvalds (96) Ubuntu (180) Vulnerabilità (70) Windows (85)