Großangriff auf Arch Linux:
Massive Malware-Einschleusung ins AUR
Arch Linux kämpft weiter mit einer groß angelegten Malware-Welle in seinem Nutzer-Repository AUR (Arch User Repository). Dieses wird derzeit mit Malware regelrecht überflutet. Der Angriff dauert an und wird raffinierter.
Bereits vor einigen Tagen war bekannt geworden, dass Hunderte von Paketen im von der Community gepflegten AUR mit Schadcode versehen worden waren. Während zunächst von rund 400 kompromittierten Paketen die Rede war, stieg die Zahl im Verlauf der Untersuchungen zunächst auf etwa 900 und schließlich auf mindestens 1579. Nach Angaben der Arch-Linux-Entwickler wurden sämtliche bekannten schädlichen Änderungen inzwischen aus dem Repository entfernt. Allerdings wiesen sie darauf hin, dass selbst diese Zahl möglicherweise nicht alle infizierten Pakete erfasst.
Doch nur einen Tag nach der vermeintlichen Bereinigung tauchten neue Fälle auf. Ein Entwickler mit dem Pseudonym "a821" meldete weitere kompromittierte AUR-Pakete. Betroffen waren unter anderem verschiedene Node.js-Komponenten, ein Paket für Plasma-6-Applets, Firefox-bezogene Erweiterungen, der Browser Aura, Erweiterungen für LibreWolf, ein Plug-in für NeoVim sowie weitere Softwarepakete. Die verdächtigen Änderungen konnten nach kurzer Zeit entfernt werden.
Der Vorfall wirft erneut Fragen zur Sicherheit des AUR auf. Anders als die offiziellen Paketquellen von Arch Linux wird das Repository von Nutzern gepflegt, die dort eigene Softwarepakete bereitstellen können. Angesichts der wiederholten Funde fordern einige Beobachter zusätzliche Schutzmaßnahmen oder sogar eine vorübergehende Abschaltung des Dienstes, bis wirksamere Sicherheitskontrollen eingeführt werden können. Die Arch-Linux-Entwickler setzen ihre Untersuchungen derweil fort.
Siehe auch:
Über 1500 infizierte Pakete
Nachdem die Entwickler hinter der Linux-Distribution zunächst davon ausgegangen waren, den Sicherheitsvorfall mit mehr als 1500 betroffenen Paketen, in die Schadcode integriert war, unter Kontrolle gebracht zu haben, wurden inzwischen weitere manipulierte Code-Einsendungen entdeckt. Die neue Angriffswelle gilt als technisch raffinierter, da die Schadfunktionen gezielt verschleiert wurden, berichtet das Magazin Phoronix.Bereits vor einigen Tagen war bekannt geworden, dass Hunderte von Paketen im von der Community gepflegten AUR mit Schadcode versehen worden waren. Während zunächst von rund 400 kompromittierten Paketen die Rede war, stieg die Zahl im Verlauf der Untersuchungen zunächst auf etwa 900 und schließlich auf mindestens 1579. Nach Angaben der Arch-Linux-Entwickler wurden sämtliche bekannten schädlichen Änderungen inzwischen aus dem Repository entfernt. Allerdings wiesen sie darauf hin, dass selbst diese Zahl möglicherweise nicht alle infizierten Pakete erfasst.
Doch nur einen Tag nach der vermeintlichen Bereinigung tauchten neue Fälle auf. Ein Entwickler mit dem Pseudonym "a821" meldete weitere kompromittierte AUR-Pakete. Betroffen waren unter anderem verschiedene Node.js-Komponenten, ein Paket für Plasma-6-Applets, Firefox-bezogene Erweiterungen, der Browser Aura, Erweiterungen für LibreWolf, ein Plug-in für NeoVim sowie weitere Softwarepakete. Die verdächtigen Änderungen konnten nach kurzer Zeit entfernt werden.
Zukunft des AUR steht zur Debatte
Wenig später entdeckte der Sicherheitsforscher Nicolas Boichat zusätzliche manipulierte Pakete. Dabei setzte er ein lokal betriebenes KI-Modell auf Basis von Gemma E2B ein, um verdächtigen Code zu identifizieren. Nach seinen Angaben waren die neuen Schadcode-Varianten deutlich ausgefeilter als die zuvor entdeckten Angriffe. Insbesondere die schädlichen Befehle rund um das Werkzeug Bun seien so verschleiert worden, dass ihre eigentliche Funktion nur schwer zu erkennen gewesen sei.Der Vorfall wirft erneut Fragen zur Sicherheit des AUR auf. Anders als die offiziellen Paketquellen von Arch Linux wird das Repository von Nutzern gepflegt, die dort eigene Softwarepakete bereitstellen können. Angesichts der wiederholten Funde fordern einige Beobachter zusätzliche Schutzmaßnahmen oder sogar eine vorübergehende Abschaltung des Dienstes, bis wirksamere Sicherheitskontrollen eingeführt werden können. Die Arch-Linux-Entwickler setzen ihre Untersuchungen derweil fort.
Zusammenfassung
- Arch Linux kämpft weiter mit einer groß angelegten Malware-Welle im AUR-Repository
- Die Zahl kompromittierter Pakete stieg von rund 400 auf mindestens 1579 an
- Nach der Bereinigung tauchte eine neue, technisch raffiniertere Angriffswelle auf
- Ein Entwickler namens a821 sowie Nicolas Boichat entdeckten weitere kompromittierte Pakete
- Nicolas Boichat nutzte ein lokales KI-Modell namens Gemma E2B zur Erkennung
- Besonders Schadcode rund um das Werkzeug Bun wurde gezielt verschleiert
- Angesichts der wiederholten Funde fordern Beobachter zusätzliche Schutzmaßnahmen oder Abschaltung
Siehe auch:
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Wird Windows Version 27H2 das größte Update seit Langem?
- Kunde zahlt RTX 5070, doch Amazon liefert nur einen alten DVD-Brenner
- Disney+ europaweit eingeschränkt: Dolby-Vision-Streit geht weiter
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen