Advertentie
Gisteren werd bekend dat er een grootschalige aanval op de Arch Linux User Repository (AUR) in gang was gezet. De AUR maakt het in essentie mogelijk/eenvoudiger om software (packages) te downloaden die niet in de officiële repository van Arch Linux staan en de "packages" daarin worden beheerd door vrijwilligers. Dat lijkt ook precies de reden waarom deze aanval zo groot is geworden.
De AUR wordt voorzien van Pkgbuild-bestanden die door een beheerder op de repository zijn geplaatst. Dit is vaak de maker van de software, of iemand die de software van enkele aanpassingen heeft voorzien zodat deze eenvoudig te installeren en gebruiken is op Arch Linux gebaseerde distributies. Deze Pkgbuild-bestanden bevatten informatie waarmee de daadwerkelijke software/packages kunnen worden geïnstalleerd. Doorgaans wordt deze software niet door een derde partij gecontroleerd, en is het idee dat gebruikers zelf verifiëren of de software die ze installeren wel jofel is. Dit gebeurt natuurlijk niet altijd, maar wanneer er een enkele package met malafide bedoelingen in sluipt is de schade doorgaans niet zo groot.
In dit geval is er echter gebruik gemaakt van het feit dat veel van de aangeboden packages op de AUR niet langer onderhouden zijn door de oorspronkelijke maker/beheerder. Als dat gebeurt wordt het bestand gemarkeerd en is het mogelijk voor iemand om deze te adopteren en zelf weer van updates te gaan voorzien. De aanvallers hebben hiervan gebruik gemaakt om, voor zover nu bekend, 1579 packages van malware te voorzien. Oorspronkelijk werden er zo'n 400 packages ontdekt met dit probleem, maar dit bleker er al gauw een stuk meer te zijn. Aan het einde van de dag gisteren lijkt het beheerders van de AUR het gelukt te zijn om alle malafide aanpassingen terug te draaien.
De malware zelf is een package die atomic-lockfile heet. Hiermee zouden de hackers in staat zijn om inloggegevens te achterhalen van gebruikers die getroffen zijn. De AUR heeft zelf dus technisch gezien geen packages, maar biedt enkel Pkgbuild-bestanden aan, waarmee gebruikers zelf hun packages kunnen compileren en deze vervolgens installeren. Dit wordt veelal geautomatiseerd met packagemanagers van derde partijen, waardoor gebruikers niet altijd een idee hebben wat er precies wordt binnengehaald. De aanvallers hebben deze Pkgbuild-bestanden aangepast, zodat ook de malafide atomic-lockfile package werd binnengehaald en geïnstalleerd. In sommige gevallen zou ook een andere malafide js-digest package zijn geïnstalleerd.
Hoewel de aanval inmiddels onder controle lijkt te zijn is het niet bekend hoeveel eindgebruikers uiteindelijk zijn getroffen. Het lijkt erop dat de aanval begon op 9 juni, maar voor een groot deel zijn de commits van de hackers na enkele uren alweer teruggedraaid. Enkel gebruikers die in die tijd geïnfecteerde Pkgbuild-bestanden hebben binnengehaald, door nieuwe software te installeren of deze van een update te voorzien, kunnen mogelijk getroffen zijn. Daarnaast was het wel nodig om de npm-packagemanager op het systeem te hebben (of te installeren) om de malware binnen te halen, dit zal wellicht ook in sommige gevallen ervoor hebben gezorgd dat de malware niet is binnengekomen.
Het is ook nog maar de vraag of een dergelijke aanval in de toekomst voorkomen kan worden. Packages in de AUR worden namelijk niet zomaar geïnstalleerd en het idee achter de repository is just dat deze bedoeld is voor gebruikers die goed weten wat ze aan het doen zijn. Voor de meer gebruiksvriendelijke distributies wordt veelal gebruik gemaakt van een meer beveiligde en kant-en-klare repository met een GUI. Wie wil controleren welke packages zeker (kort) getroffen zijn geweest is er deze lijst.