Selon une actualité publiée par Bleeping Computer, Arch Linux a récemment retiré trois paquets malveillants de l’Arch User Repository (AUR). Ces paquets étaient utilisés pour installer le cheval de Troie CHAOS, un remote access trojan (RAT), sur les appareils Linux.
🐧 Alerte sécurité sur Arch Linux : des paquets AUR utilisés pour diffuser un malware
La communauté Arch Linux a récemment été la cible d’une attaque via l’Arch User Repository (AUR), un dépôt collaboratif utilisé pour distribuer des scripts d’installation de logiciels. Trois paquets nommés librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin, mis en ligne le 16 juillet par un utilisateur appelé “danikpapas”, contenaient en réalité le maliciel CHAOS RAT, un cheval de Troie à accès distant (RAT). Ils ont été retirés deux jours plus tard grâce à la vigilance de la communauté.
Les scripts malveillants pointaient tous vers un dépôt GitHub contrôlé par l’attaquant, qui se faisait passer pour un correctif. Ce dépôt, désormais supprimé, injectait du code malveillant lors de la phase de compilation ou d’installation du paquet. Le CHAOS RAT, une menace connue sur Windows et Linux, permet entre autres de prendre le contrôle total d’un système infecté, d’exécuter des commandes à distance, ou encore de voler des données.
Le caractère non modéré du dépôt AUR a contribué à la diffusion de ces paquets : aucune vérification systématique n’est effectuée sur les nouveaux scripts, laissant aux utilisateurs la responsabilité de vérifier le code manuellement. Cette faille est bien connue des spécialistes, mais reste un risque sous-estimé par une partie des utilisateurs.
Une campagne de promotion suspecte sur Reddit a été repérée parallèlement, où un compte ancien (probablement compromis) faisait la publicité de ces paquets. C’est suite à l’analyse VirusTotal d’un composant que la présence du malware CHAOS RAT a été confirmée. Celui-ci communiquait avec un serveur distant de commande (C2) à l’adresse 130.162[.]225[.]47:8080, signe classique d’une opération de piratage active.
Les utilisateurs ayant installé un de ces paquets doivent agir immédiatement : rechercher un exécutable nommé systemd-initd dans le dossier /tmp, et le supprimer s’il est présent. L’équipe Arch Linux recommande de désinstaller les paquets compromis, de vérifier l’intégrité du système, et de renforcer les bonnes pratiques de sécurité lors de l’utilisation de l’AUR.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/arch-linux-pulls-aur-packages-that-installed-chaos-rat-malware/