Quando ho letto la notizia riportata da Linuxiac a proposito di tre pacchetti contenenti malware presenti nei repository AUR di Arch Linux ho avuto una sensazione di déjà-vu.

Prima di procedere, per chi non è avvezzo, i repository AUR (Arch User Repository) contengono pacchetti creati e mantenuti da utenti terzi. Sono l’equivalente Arch delle PPA (Personal Package Archives) di Ubuntu: in entrambi i casi si tratta di fonti esterne non ufficiali che permettono di installare software in modo semplice e rapido, spesso anticipando i tempi dei repository ufficiali o offrendo pacchetti non disponibili altrove.

Ci sono però delle differenze. Mentre le PPA sono ospitate su una piattaforma centralizzata (Launchpad, la piattaforma di Canonical) e soggette ad almeno un minimo di tracciabilità, gli AUR sono spesso distribuiti tramite repository Git personali o mirror non verificati, con un livello di controllo pressoché nullo. Questo li rende estremamente utili, ma anche pericolosi.

Ora, prima di scrivere questo articolo, ho fatto una ricerca nel portale e mi sono reso conto di come, già nel luglio del 2018 (casualmente sempre in questo periodo dell’anno), avevamo raccontato di un malware trovato nei repository AUR in un articolo di Elena Metelli.

Cosa è cambiato negli ultimi sette anni? Nulla.

La storia, ahi noi, è sempre la stessa: tre pacchetti, inizialmente librewolf-fix-bin, e poi firefox-patch-bin e zen-browser-patched-bin, quindi tutti inerenti alla categoria browser, contenevano un Remote Access Trojan (RAT) nascosto in uno script che veniva scaricato da un repository GitHub.

Cosa può causare un trojan di questo tipo? Le solite cose: pieno controllo su un sistema infetto, furto di dati, installazione di malware aggiuntivi o semplicemente spiare gli utenti.

Chiaramente il team di sicurezza di Arch Linux ha risposto prontamente non appena sono venuti a conoscenza del problema. Già il 18 luglio, tutti e tre i pacchetti dannosi sono stati rimossi da AUR, ma il problema ovviamente riguarda chi ha installato uno di questi prima della loro rimozione.

In questo caso i pacchetti andranno rimossi manualmente il prima possibile ed ovviamente andranno controllati i sistemi, alla ricerca di segni di compromissione: attività insolite della rete, processi imprevisti o file sconosciuti.

E qui arriva la parte interessante da analizzare.

Arch non è mai stata considerata una distribuzione per neofiti ed ha un “costo di ingresso” piuttosto alto. Per assurdo, potrebbe essere proprio questo aspetto ad aver inciso sul fatto che gli AUR vengano installati con leggerezza.

In poche parole, potrebbe essere che il pensiero sia “È roba da tecnici, figurati se qualcuno pensa ai malware“.

Eppure è quello che è successo.

Installare da un AUR è un atto di fiducia cieca nei confronti del codice binario, che verrà eseguito con privilegi di root, senza alcuna garanzia di sicurezza o affidabilità.

Terreno fertile per potenziali attaccanti, anche su distribuzioni non così accessibili o popolari. Del resto ora che il Desktop Linux ha bucato il 5%…