Gli Arch User Repository (AUR), una delle risorse più apprezzate dagli utenti di Arch Linux per la sua vasta collezione di software gestita dalla comunità, dopo la recente rimozione di pacchetti che contenevano un Remote Access Trojan (RAT) è nuovamente al centro di polemiche.
Malware su AUR: un problema purtroppo ormai ricorrente
Per chi non lo sapesse AUR è una piattaforma aperta che permette a chiunque di contribuire con PKGBUILD per semplificare l’installazione di software su Arch Linux. Tuttavia, questa apertura lo rende anche un bersaglio per attori malevoli. Alcuni pacchetti sono stati modificati per includere codice dannoso. Tra le minacce individuate ci sono script nascosti che eseguono operazioni non autorizzate, backdoor per il controllo remoto e persino cryptominer che sfruttano le risorse di sistema senza consenso.
AUR e i problemi che arrivano già dal 2022
Questo non è un caso isolato. Già nel 2022, il pacchetto “libpasta” conteneva un miner di criptovalute, mentre nel 2023 altri PKGBUILD fraudolenti sono stati segnalati e rimossi. La natura decentralizzata dell’AUR rende difficile un controllo sistematico, lasciando agli utenti la responsabilità di verificare ciò che installano.
Riscontrato Google Chrome con RAT in AUR
Proprio nei giorni scorsi un pacchetto chiamato google-chrome-stable non si limita a installare il browser di Google, ma tramite uno script eseguiva anche un RAT sul tuo sistema. Questo tipo di malware può potenzialmente dare agli aggressori il controllo sulla macchina infetta, consentendo loro di rubare dati, in teoria però non poteva installare software visto i permessi di amministrazione che vengono richiesti al momento dell’installazione.
Come proteggersi pur continuando ad usare AUR su Arch Linux
La sicurezza nell’uso di AUR dipende in gran parte dalle abitudini dell’utente. Prima di procedere con l’installazione di un pacchetto, è fondamentale esaminare il PKGBUILD per identificare eventuali anomalie. Un controllo rapido può rivelare URL sospetti, comandi di download non verificati o script di installazione potenzialmente pericolosi.
Strumenti come paru / yay offrono funzionalità aggiuntive per ridurre i rischi, tra cui la possibilità di rivedere le modifiche apportate ai PKGBUILD prima della compilazione. Inoltre, è buona norma consultare i commenti e i voti degli altri utenti: un pacchetto con poche recensioni o feedback negativi dovrebbe essere trattato con cautela.
Personalmente io continuo ad usare AUR ovvio che bisogna stare attenti a quello che si installa e soprattutto bisogna verificare sempre tutto prima di procedere con l’installazione. Quando possibile, è preferibile utilizzare i repository ufficiali di Arch Linux, dove i pacchetti vengono controllati e mantenuti dagli sviluppatori del progetto.
via
Non solo quel pacchetto, anche ttf-mac-fonts-all [PRQ#74992], ttf-ms-fonts-all [PRQ#74993], chrome [PRQ#74997], google-chrome-bin [PRQ#74996]
https://x.com/Fabio_Lolix/status/1951033180401647757