אפליקציות זדוניות נכנסו למאגר המשתמשים של Arch – איך להגן על עצמך

עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.

נקודות המפתח של ZDNET

• נמצא שמאגר המשתמשים של Arch מכיל אפליקציות זדוניות.
• זה התגלה פעמיים תוך שבוע.
• משתמשים מוזהרים להיות ערניים, אבל יש דרכים אחרות, קלות יותר.

חוקרים בחברת ניהול שרשרת אספקת התוכנה Sonatype גילו שמאגר המשתמשים של Arch מכיל בערך 1,500 חבילות זדוניותאמרה החברה בפוסט בבלוג שעודכן ב-12 ביוני.

"אנו ממשיכים לעודד את כל המשתמשים בחבילות AUR לבדוק כֹּל שינויים בסקריפט PKGBUILD והתקנה בעת עדכון, במיוחד בתקופה זו. אם אתה מבחין בהתחייבויות חשודות לחבילה שבה אתה משתמש, אנא פנה לצוות Arch באמצעות רשימת התפוצה של aur-general עם מידע נוסף", אמר צוות Arch בהודעה אמירה קצרה.

זה לא מבשר טובות עבור מאגר שנוצר כדי להגדיל באופן דרמטי את כמות התוכנה הזמינה למשתמשי Arch (ונגזרת Arch).

כמו כן: Archcraft הוא הפצה מוצקה ומהירה במיוחד לכל מי שמוכן לעבור מעבר ללינוקס מתחיל

ה-AUR הוא בעצם דרך למפתחים להפוך תוכנה חדשה לזמינה למשתמשי Arch Linux לפני שהיא מתווספת רשמית למאגרי Arch. זהו אוסף של תיאורי חבילות (שנקראים PDKGUILDs) המאפשרים להרכיב חבילה מקוד מקור באמצעות makepkg הכלי ולאחר מכן התקן את החבילה דרך מנהל החבילות Arch Linux, pacman.

העניין ב-AUR הוא שכל אחד יכול להעלות אליו חבילות, וקבוצה של משתמשים מהימנים מחוייבת לעקוב אחר מה שנכנס.

אתה יכול לראות לאן זה הולך, נכון?

תאר לעצמך שאתה אחד מאותם משתמשים מהימנים מתנדבים שמופקדים על בדיקת כל אפליקציה שנשלחת למאגר. כעת, תאר לעצמך שאתה שחקן גרוע שרוצה להחדיר תוכנה זדונית למאגר הזה. אתה מטשטש את התוכנה הזדונית, שולח את האפליקציה כחוקית ומניח שלמשתמשים מהימנים לא יהיה זמן לחפור בכל שורה בקוד שלך. המשתמש המהימן מבצע סריקה מהירה של הקוד שלך ואינו רואה את הערפול.

בלמו! זה עתה הוספת אפליקציה זדונית ל-AUR.

בתוך שבוע אחד, בערך 1,500 אפליקציות זדוניות עשו את דרכן למאגר, מה שאומר שמשהו חייב להשתנות; אחרת, משתמשי Arch (וגם מבוססי Arch) לא יוכלו לסמוך על ה-AUR. לא היו דיווחים על מה שהאפליקציות הזדוניות האלה עושות, וגם לא מי שלח אותן.

גַם: השתמשתי בלינוקס כבר 30 שנה – נותרו 4 תסכולים, כולל 2 שדוחפים אותי בחזרה ל-MacOS

בינתיים, יש לי כמה המלצות למשתמשי Arch.

הסר, הסר, הסר

ראשית, עליך להסיר את כל מה שהתקנת מה-AUR, ולקוות שזה לא מאוחר מדי. כרגע, אין לי מושג עד כמה הקוד הזדוני שהכניס אותו ל-AUR גרוע, אז אין לדעת מה הנזק שהוא עלול לגרום או עשה למערכות שלך.

למרבה המזל, כדי להסיר את החבילה, אתה יכול להשתמש בפקמן כך:

sudo pacman -R PACKAGENAME

כאשר PACKAGENAME היא החבילה שיש להסיר.

לאחר שעשית את זה, בדוק כדי לוודא שהחבילה הוסרה עם הפקודה:

פקמן -Q

הפקודה לעיל תפרט כל חבילה המותקנת במערכת שלך.

הפסק להשתמש ב-AUR

לאחר מכן, הפסק להשתמש ב-AUR, לפחות עד שהמפתחים והמשתמשים המהימנים יוכלו להמציא פתרון כדי למנוע בעיה זו. לאחר שתטפל בזה, שקול את גבולות ה-AUR עד שהמפתחים ימצאו דרך להפוך אותו לבטוח.

לאחר שהסרת את כל החבילות והפסקת להשתמש ב-AUR, עשה לעצמך טובה והשתמש בכלי כמו Wireshark כדי לבדוק אם יש תעבורה יוצאת חשודה. אם אתה מזהה משהו שאתה לא מזהה, חפש אותו. אם זה לא ידוע או ידוע כקשור לקוד זדוני, חסום את התעבורה היוצאת או התקן מחדש את מערכת ההפעלה שלך.

אל תיקח שום סיכונים.

אמצו מנהל חבילות אוניברסלי

במקום ה-AUR, התקן את Flatpak והתקן אפליקציות משם. עם Flatpak, יהיו לך טונות של יישומים להתקין, כך שלא תחמיץ את ה-AUR כמעט כמו שאתה חושב. אתה יכול להתקין Flatpak עם הפקודה:

sudo pacman -S flatpak

לאחר ההתקנה, הוסף את Flathub מאגר עם:

flatpak מרחוק-הוסף –אם-לא-קיים –משתמש flathub https://dl.flathub.org/repo/flathub.flatpakrepo

לאחר מכן תוכל להתקין כל מה שאתה צריך, כמו כך:

flatpak להתקין את PACKAGENAME

כאשר PACKAGENAME הוא השם של חבילה שנמצאת ב-Flathub. תגלו שיש אפליקציות ב-Flathub שלא היו זמינות ב-AUR (אפילו אפליקציות קנייניות כמו Spotify ו-Slack).

וגם: אחרי 30 שנה עם לינוקס, נתתי הזדמנות ל-Windows 11 – ומצאתי 9 בעיות ברורות

חבל ששחקנים גרועים יכולים להרוס משהו לכולם. בעוד Arch Linux היא מערכת הפעלה מאובטחת להפליא, ה-AUR הוא סיפור אחר. אף פעם לא הייתי אחד שתלוי ב-AUR (למעשה, אני ממעט להשתמש בו), אז זה לא משפיע עלי כמעט כמו שהוא עשוי להשפיע על אלה שכן.

כדי לתקן בעיה זו, הייתי מציע שה-AUR זקוק למערכת הרבה יותר טובה לאימות תקינות התוכנה שהוגשה. אני מבין שיש מי שיחשבו שזו עלבון למה שה-AUR היה במשך שנים, אבל אם נושאים כאלה יימשכו, ה-AUR יהפוך לשממה עקרה.

כמעט 2,000 אפליקציות זדוניות בתוך שבוע אין מה להסתכל ממנו. וגם אם המפתחים יכולים להנפיק הכל בכל פעם שמתגלים אפליקציות זדוניות, בשלב מסוים אף אחד לא יבטח ב-AUR, אז משהו דרמטי חייב להשתנות.

אֲפִילוּ השרשור הזה של Reddit מלפני חמש שנים ממחיש שהבעיה הזו מעוררת דאגה במשך זמן רב. זה גם מדגיש את העובדה שהאחריות היא על המשתמש לבדוק את כל מה שהוא מתקין. על כך, הייתי אומר, איך אתה הולך למשוך משתמשים חדשים אם הם צפויים לבדוק תוכנות שבהן הם רוצים להשתמש עבור קוד זדוני? התשובה… אתה לא יכול.