Az Arch Linux felhasználói számára az AUR (Arch User Repository) igazi kincs: hatalmas szoftverválasztékot kínál, amely messze túlnyúlik az alapértelmezett Arch tárolókon. Ugyanakkor az AUR használata mindig is kockázatokkal járt, hiszen bárki feltölthet ide csomagokat, és a tartalom nem megy át hivatalos ellenőrzésen. Ahogy a szolgáltatás fogalmaz:  FIGYELMEZTETÉS: Az AUR csomagok felhasználók által készített tartalmak. A mellékelt fájlok használata saját felelősségre történik. A július 16-án napvilágot látott incidens ismét ráirányította a figyelmet ezekre a veszélyekre. Ekkor egy felhasználó feltöltött egy librewolf-fix-bin nevű csomagot, amely kártékony kódot tartalmazott. Néhány órán belül két további hasonló csomag is megjelent az AUR-on: firefox-patch-bin és zen-browser-patched-bin. A vizsgálatok alapján mindhárom csomag ugyanattól a rosszindulatú feltöltőtől származott.

A biztonsági kutatók gyorsan azonosították a fenyegetést: a csomagok egy távoli hozzáférésű trójai vírust (RAT – Remote Access Trojan) tartalmaztak, amely egy GitHubról letöltött szkripten keresztül aktiválódott. Ez a fajta kártevő különösen veszélyes, mivel teljes hozzáférést biztosíthat a támadónak az áldozat rendszeréhez: fájlokat lophat, újabb kártékony programokat telepíthet, vagy akár valós időben figyelheti a felhasználót.

Szerencsére az Arch Linux biztonsági csapata gyorsan reagált: július 18-ára eltávolították mindhárom rosszindulatú csomagot az AUR-ból. Ám azok számára, akik ezeket korábban telepítették, a veszély továbbra is fennállhat. Az érintett felhasználóknak javasolt:

• Azonnal eltávolítani a problémás csomagokat.
• Ellenőrizni a rendszert gyanús tevékenységek után: ismeretlen hálózati forgalom, ismeretlen folyamatok vagy fájlok lehetnek intő jelek.
• Alapos biztonsági ellenőrzést végezni, mivel az ilyen kártevők gyakran mélyen beépülnek a rendszerbe.

Ez az eset sajnos nem egyedi – korábban is előfordult, hogy rosszindulatú csomagok kerültek be az AUR-ba, és minden bizonnyal nem is ez volt az utolsó. Az AUR hatalmas előnye, hogy szinte bármilyen szoftverhez gyorsan hozzáférhetünk, de éppen emiatt fokozott óvatosság szükséges a használatához. Telepítés előtt mindig érdemes:

• Átnézni a PKGBUILD fájlt, hogy mit tölt le és telepít.
• Ellenőrizni a feltöltő profilját és korábbi csomagjait.
• Keresni hozzászólásokat, értékeléseket a csomaghoz kapcsolódóan.

Az Arch közösség egyik legnagyobb erőssége épp a rugalmasság és a közösségi támogatás, de az ilyen esetek is emlékeztetnek rá: nagy szabadság nagy felelősséggel jár. További részletek elérhetők az Arch levelezőlistáján közzétett hivatalos figyelmeztetésben.