Újabb rosszindulatú program az Arch AUR‑ban

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

Újabb rosszindulatú program az Arch AUR‑ban: ismét kártékony kód bukkant fel a népszerű csomagtárban

Mindössze tíz nappal az előző incidens után ismét rosszindulatú szoftvert találtak az Arch Linux AUR csomagjai között. Ezúttal a támadók egy távoli hozzáférést biztosító trójai programot (Remote Access Trojan – RAT) rejtettek el egy látszólag ártalmatlan, böngészőnek álcázott csomagban.

Mi történt pontosan?

Az AUR (Arch User Repository) az Arch Linux közösség által létrehozott, felhasználók által karbantartott szoftvergyűjtemény, amely sokak szerint az Arch egyik legnagyobb előnye, szinte „rejtett kincse”. Ugyanakkor a teljesen nyitott feltöltési rendszer miatt a rosszindulatú programok számára is célponttá válhat.

Az előző, tíz nappal ezelőtti eset után most ismét távoli hozzáférést biztosító trójai (Remote Access Trojan – RAT) került a csomagtárba. A kártékony kód ezúttal a google-chrome-stable nevű csomagba volt rejtve. A csomag nemcsak a Google Chrome böngészőt telepítette, hanem egy Python‑szkript segítségével minden indításkor letöltött és futtatott egy külső erőforrást, amely a kártékony kódot tartalmazta.

Ez a típusú rosszindulatú program a támadóknak teljes hozzáférést biztosíthat a fertőzött géphez, lehetővé téve adatlopást, további kártékony szoftverek telepítését vagy akár kémkedést is.

Hogyan került fel a csomag?

A problémás csomagot egy frissen regisztrált felhasználó töltötte fel a „forsenontop” felhasználónév alatt. A PKGBUILD fájlban egy install szkript (google-chrome-bin.install) hívott meg egy launcher szkriptet (google-chrome-stable.sh), amely a Chrome indítása előtt egy Python-parancsot futtatott le a -c opcióval. Ez az utasítás minden indításkor behúzott egy külső erőforrást, amely a kártékony szoftvert töltötte le.

A jó hír, hogy a csomag mindössze néhány órán át volt elérhető az AUR-ban, mielőtt észlelték és az adminisztrátorok azonnal eltávolították. Azonban néhány pozitív értékelést (upvote) így is kapott, ami arra utal, hogy több felhasználó már telepíthette is.

Mit tegyenek az érintett felhasználók?

Ha valaki telepítette a rosszindulatú csomagot, azonnal távolítsa el, és futtasson teljes körű biztonsági ellenőrzést a rendszerén. Az Arch közösség szakértői szerint azonban a legbiztosabb megoldás egy teljes rendszer‑újratelepítés (OS preinstall), hogy kizárható legyen minden hátsó kapu vagy rejtett kártékony kód jelenléte.

Mi a tanulság?

Ez az eset ismét rávilágít arra, hogy bár az AUR egy rendkívül hasznos forrás, a csomagok biztonságáért nem az Arch Linux hivatalos fejlesztői felelnek, hanem kizárólag a közösség.

Az incidens jól mutatja, mennyire egyszerű hamis fiókkal feltölteni egy legitimnek tűnő csomagot. Ezért fontos, hogy a felhasználók mindig ellenőrizzék a csomag előéletét:

  • Nézzék meg, mióta létezik a csomag.
  • Ellenőrizzék a feltöltő hírnevét és a PKGBUILD fájl tartalmát.
  • Kerüljék a frissen feltöltött, előzmény nélküli csomagokat – még akkor is, ha a neve hivatalosnak tűnik.

A böngészők – akárcsak a korábbi incidensben – különösen vonzó célpontot jelentenek a támadók számára, hiszen ezek a legszélesebb körben használt szoftverek közé tartoznak.

Szómagyarázat

AUR (Arch User Repository) – Arch Linux közösségi csomagtára, ahol bárki közzétehet szoftvereket.
PKGBUILD – olyan fájl, amely az Arch csomagok felépítéséhez szükséges utasításokat tartalmazza.
Remote Access Trojan (RAT) – olyan rosszindulatú program, amely lehetővé teszi a támadó számára a fertőzött rendszer távoli irányítását.
-c opció (Python) – lehetővé teszi egy parancssori Python-parancs közvetlen végrehajtását.

Lépésről lépésre: Mit tegyél, ha fertőzött AUR‑csomagot telepítettél?

1. Azonosítsd a gyanús csomagot

Nyisd meg a terminált, és futtasd:

pacman -Q | grep chrome

Ha látod a google-chrome-stable vagy más frissen telepített csomag nevét, az gyanús lehet.

2. Távolítsd el azonnal

Ha az érintett csomag telepítve van:

sudo pacman -Rns google-chrome-stable

Ez eltávolítja a csomagot és a hozzá tartozó konfigurációs fájlokat.

3. Ellenőrizd a rendszeredben lévő fájlokat

A kártékony PKGBUILD valószínűleg külső erőforrást töltött le, ami máshol is elhelyezhetett fájlokat.
Keresd meg az utoljára módosított fájlokat:

sudo find / -type f -newermt "2025-07-30" 2>/dev/null

(A dátumot állítsd be arra a napra, amikor a fertőzött csomagot telepítetted.)

4. Ellenőrizd a futó folyamatokat

Listázd a gyanús Python-folyamatokat:

ps aux | grep python

Ha olyasmit látsz, ami külső szerverhez kapcsolódik (például ismeretlen script vagy URL), az kártékony lehet.

5. Vizsgáld át a rendszerindító szkripteket

A RAT-ek gyakran önindító szkripteket adnak hozzá. Ellenőrizd:

ls /etc/systemd/system/
ls ~/.config/systemd/user/
ls ~/.config/autostart/

Ha találsz ismeretlen fájlokat, vizsgáld meg őket:

cat /elérési/út/fájl.neve

6. Ellenőrizd a hálózati kapcsolatokat

Ha a RAT aktív, kapcsolatot tart egy külső szerverrel. Futtasd:

sudo lsof -i -P -n | grep ESTABLISHED

Ellenőrizd, van-e gyanús kapcsolat (pl. ismeretlen IP-k).

7. Futtass vírusellenőrzést

Telepíts egy Linux‑kompatibilis víruskeresőt (pl. ClamAV):

sudo pacman -S clamav
sudo freshclam
sudo clamscan -r --bell -i /

Ez mélyreható vizsgálatot végez a rendszereden.

8. Dönts: rendszer újratelepítése

Ha RAT-et találtál, a teljes rendszer újratelepítése a legbiztonságosabb megoldás.
Mentsd el az adataidat (különösen titkosított formában), majd telepítsd újra az Archot.

9. Erősítsd a jövőbeni védelmet

  • Mindig nézd meg a PKGBUILD tartalmát telepítés előtt:

    yay -G csomagnév
    cd csomagnév
    less PKGBUILD
  • Kerüld a frissen feltöltött csomagokat. Ha az AUR-csomagnak nincs múltja vagy értékelése, inkább várj.
  • Engedélyezd a rendszer naplózását (auditd), hogy később nyomon követhesd az eseményeket.