AUR kämpft mit immer neuen Malware-Angriffen
Das Arch User Repository (AUR) ist Ziel einer gross angelegten Malware-Kampagne. Trotz umfangreicher Bereinigungen wurden weitere manipulierte Pakete entdeckt.
Im AUR wurden innerhalb weniger Tage zahlreiche Community-Pakete mit Schadcode versehen und für ahnungslose Nutzer bereitgestellt. Die Zahl der betroffenen Einträge stieg während der laufenden Untersuchungen deutlich an und erreichte neue Höchstwerte.
Nach einer ersten Bereinigungsaktion meldeten Entwickler weitere verdächtige Änderungen in mehreren Softwarepaketen. Dadurch geriet die Hoffnung auf eine schnelle Eindämmung des Sicherheitsvorfalls erneut ins Wanken.
Wie «WinFuture» berichtet, wurden neue manipulierte Pakete kurz nach den ersten Löschaktionen entdeckt und entfernt. Zudem kamen zunehmend verschleierte Schadcode-Varianten zum Vorschein, deren eigentliche Funktion deutlich schwerer erkennbar war.
AUR bleibt im Visier
Die Angreifer passten ihre Methoden während der laufenden Kampagne an und entwickelten ihre Vorgehensweise kontinuierlich weiter. Neue Schadprogramme sollten ihre eigentliche Funktion verbergen und die Entdeckung durch Sicherheitsprüfungen erschweren.
Teilweise wurden kleine Programme eingesetzt, die erst nach der Installation auf betroffenen Systemen aktiv wurden. Anschliessend luden sie weiteren Code aus dem Internet nach und führten diesen unbemerkt auf Rechnern aus.
«LinuxNews» zufolge rückte damit eine technisch deutlich aufwendigere Angriffsmethode in den Fokus der Untersuchungen. Gleichzeitig wird über Einschränkungen des Dienstes oder sogar eine vorübergehende Abschaltung des AUR diskutiert.
Folgen und Reformen
Als Einfallstor dienten vor allem verwaiste Pakete, die keinen aktiven Betreuer mehr besassen. Deren Installationsskripte wurden gezielt verändert, um schädliche Funktionen in reguläre Softwarepakete einzuschleusen.
Die Schadsoftware zielte auf Zugangsdaten wie SSH-Schlüssel, Tokens und gespeicherte Passwörter verschiedener Anwendungen ab. In bestimmten Fällen bestand zudem das Risiko, dass sich Angreifer dauerhaft auf betroffenen Systemen festsetzen konnten.
Wie «Börse Express» hervorhebt, werden nun umfassende Reformen für das AUR und seine Kontrollmechanismen diskutiert. Vorgeschlagen werden strengere Prüfverfahren, zusätzliche Sicherheitsmassnahmen und Einschränkungen bei der Übernahme verwaister Pakete.
