Команда разработчиков Arch Linux выявила серьезную угрозу безопасности в популярном пользовательском репозитории AUR (Arch User Repository). Три вредоносных пакета, маскирующихся под обновления для браузеров, содержали троян удаленного доступа Chaos RAT, способный полностью компрометировать Linux-системы.
Детали инцидента с вредоносными пакетами
16 июля 2025 года пользователь под ником danikpapas загрузил в AUR три подозрительных пакета: librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin. Эти пакеты позиционировались как исправления для популярных браузеров, что делало их привлекательными для пользователей Arch Linux.
Благодаря бдительности сообщества, вредоносное программное обеспечение было обнаружено всего через два дня после публикации. Пользователи Reddit заподозрили неладное, когда заметили подозрительную активность в комментариях от давно неактивного аккаунта, который внезапно начал продвигать эти пакеты.
Технический анализ атаки через Chaos RAT
Анализ архивных копий показал изощренную схему атаки. В файле PKGBUILD всех трех пакетов содержалась запись source с названием «patches», которая указывала на контролируемый злоумышленниками репозиторий GitHub: https://github.com/danikpapas/zenbrowser-patch.git.
При обработке пакета система автоматически клонировала этот репозиторий, считая его частью процесса обновления. Однако вместо обещанных патчей репозиторий содержал вредоносный код Chaos RAT, который активировался на этапе сборки или установки пакета.
Возможности троянца Chaos RAT
Chaos RAT представляет собой мощный опенсорсный троян удаленного доступа, работающий как на Windows, так и на Linux-системах. Этот малвар обеспечивает злоумышленникам широкий спектр возможностей:
• Загрузка и скачивание произвольных файлов
• Выполнение команд с правами пользователя
• Создание reverse shell для удаленного управления
• Кража учетных данных и конфиденциальной информации
• Установка дополнительного вредоносного ПО
После успешной установки троян устанавливал соединение с управляющим сервером 130.162.225.47:8080, ожидая команд от операторов.
Уязвимости архитектуры AUR
Данный инцидент выявил ключевую проблему безопасности пользовательских репозиториев. В отличие от официальных репозиториев, AUR не имеет формализованной процедуры проверки новых пакетов. Это означает, что ответственность за безопасность полностью лежит на конечных пользователях.
Злоумышленники воспользовались этой особенностью архитектуры, создав пакеты с правдоподобными названиями и описаниями. Дополнительно они использовали социальную инженерию, продвигая вредоносные пакеты через скомпрометированные аккаунты в Reddit.
Рекомендации по защите и восстановлению
Команда Arch Linux выпустила срочные рекомендации для пользователей, которые могли установить зараженные пакеты. Первоочередной задачей является проверка наличия подозрительного исполняемого файла systemd-initd в директории /tmp и его немедленное удаление при обнаружении.
Для предотвращения подобных инцидентов в будущем эксперты рекомендуют всегда внимательно изучать содержимое PKGBUILD-файлов перед установкой пакетов из AUR, особенно обращая внимание на внешние источники и скрипты загрузки.
Этот инцидент служит важным напоминанием о том, что даже в экосистеме Linux безопасность требует постоянной бдительности. Пользователи должны критически оценивать источники программного обеспечения и регулярно мониторить свои системы на предмет подозрительной активности. Своевременное обнаружение и реагирование сообщества показывает эффективность коллективного подхода к обеспечению кибербезопасности в открытых экосистемах.
