Случилось то, о чём предупреждали большевики здравомыслящие люди.
Привет пользователям AUR-helper-ов.
(Бинарники и «дополнения» скачивались с github, вроде бы)
(пример github .com / danikpapas / zenbrowser-patch .git)
An Arch Linux user on Wednesday uploaded malicious AUR packages of firefox-patch-bin, librewolf-fix-bin, and zen-browser-patched-bin. These AUR packages ended up installing a binary file from a GitHub repository that ended up being a remote access trojan.
Arch Linux administrators were made aware of these malicious packages and as of Friday they were removed.
https://www.phoronix.com/news/Arch-Linux-Malicious-AURs
Подробности на opennet
https://www.opennet.ru/opennews/art.shtml?num=63604
Патчи вносили изменение в установочный процесс, приводящее к запуску скрипта на языке Python для установки трояна Chaos. Троян позволял получить удалённый доступ к системе, отправлять на внешний сервер конфиденциальные файлы и выполнять команды, например, для майнинга криптовалюты.
Для продвижения вредоносных пакетов 18 июля в 15 часов (MSK) была развёрнута спамерская капания (на reddit). Например, для стимулирования установки в примечании к сборке с браузером Zen было отмечено решение критических проблем со стабильностью и отрисовкой, а также устранение утечек памяти.
Почти сразу пользователи репозитория (AUR) обратили внимание на ещё четыре вредоносных пакета minecraft-cracked, ttf-all-ms-fonts, ttf-ms-fonts-all и vesktop-bin-patched, размещённых под другой учётной записью примерно в 21 час 18 июля (MSK). На момент написания новости данные пакеты уже удалены из репозитория.
