AUR di nuovo sotto attacco a causa del ritorno del malware

Il mondo del software libero è un ecosistema vibrante e collaborativo, ma non è immune da minacce. Negli ultimi giorni, l’AUR (Arch User Repository), un pilastro fondamentale per gli utenti di Arch Linux e delle sue distribuzioni GNU/Linux derivate, è tornato sotto i riflettori per un motivo tutt’altro che piacevole: la comparsa di malware. Questo evento, in particolare l’attacco recente che ha colpito il pacchetto google-chrome-stable solo 10 giorni dopo un precedente incidente, ci ricorda l’importanza della cautela e della sicurezza informatica anche in ambienti apparentemente più protetti come quelli open source.

Cos’è AUR e perché è così importante per gli utenti di Arch Linux?

AUR è un repository software gestito dalla comunità degli utenti di Arch Linux. Gli utenti di Debian o di Ubuntu possono pensare ad AUR come all’equivalente di un PPA. A differenza dei repository software ufficiali, che contengono pacchetti precompilati e testati rigorosamente dai manutentori di Arch Linux, AUR ospita “PKGBUILD”. Questi sono script di compilazione che forniscono istruzioni su come ottenere e compilare il codice sorgente di un’applicazione o come impacchettare binari precompilati per il sistema Arch Linux.

L’utilità di AUR è innegabile: permette di accedere a una vasta gamma di applicazioni che non sono incluse nei repository software ufficiali, estendendo enormemente la disponibilità di software. Questa flessibilità è uno dei punti di forza di Arch Linux. Tuttavia, la sua natura decentralizzata e basata sul contributo degli utenti lo rende anche un potenziale punto debole in termini di sicurezza informatica. Ogni utente può caricare uno script PKGBUILD, e sebbene ci siano delle revisioni da parte della comunità e dei Trusted Users (Utenti Fidati), non tutti gli script vengono esaminati con la stessa accuratezza e rapidità dei pacchetti ufficiali. Questo processo di revisione si basa spesso sulla buona fede e sulla vigilanza collettiva.

La storia degli attacchi ad AUR: un campanello d’allarme per la sicurezza informatica

Non è la prima volta che AUR finisce nel mirino di attori malintenzionati. La sua storia è costellata di episodi che hanno messo in evidenza la vulnerabilità intrinseca di un repository software basato sul contributo degli utenti. La conoscenza di questi precedenti è fondamentale per comprendere la persistenza del problema e la necessità di una vigilanza costante.

Il primo grande allarme: il caso “acroread” e l’iniezione di codice malevolo

Uno dei primi incidenti di rilievo che scosse la comunità di Arch Linux risale a diversi anni fa. Un pacchetto apparentemente innocuo chiamato <a href="https://www.laseroffice.it/blog/2018/07/12/aur-scovato-un-malware-ma-ora-e-tutto-sistemato/" data-type="post" data-id="5950245">acroread</a> (una versione non ufficiale del lettore PDF di Adobe, all’epoca molto richiesto) fu trovato contenere codice malevolo. Il malware era stato inserito attraverso un commit (una modifica al codice sorgente o al PKGBUILD che viene poi salvata nel repository software di AUR) da un utente che aveva guadagnato la fiducia della comunità. Il codice malevolo era stato abilmente camuffato all’interno dello script PKGBUILD, che invece di limitarsi a scaricare e compilare il software legittimo, includeva passaggi per scaricare ed eseguire un payload (il componente del malware che esegue l’azione dannosa) da un server esterno. Questo episodio servì da forte monito sull’importanza di controllare attentamente gli script PKGBUILD, anche quelli provenienti da utenti apparentemente affidabili con una storia di contributi positivi.

Attacchi successivi: tra patch malevole e manipolazione di sorgenti

Negli anni a seguire, si sono verificati altri tentativi di infiltrazione, dimostrando una crescente sofisticazione nelle tecniche degli attaccanti.

Iniezione tramite patch malevole

Alcuni attacchi hanno sfruttato patch (piccole modifiche al codice sorgente volte a correggere bug o aggiungere funzionalità, spesso distribuite come file .patch) malevole camuffate da correzioni legittime. In questi scenari, il PKGBUILD avrebbe scaricato il codice sorgente legittimo dell’applicazione e poi applicato una patch che, oltre a risolvere un problema o aggiungere una funzionalità, iniettava codice malevolo. Gli utenti meno esperti nella revisione di patch avrebbero potuto facilmente non notare le righe dannose tra le modifiche legittime.

Manipolazione di sorgenti esterne e download compromessi

Altri incidenti hanno coinvolto la manipolazione delle sorgenti esterne da cui i PKGBUILD scaricano i file. Un attaccante potrebbe compromettere un sito web che ospita il codice sorgente di un’applicazione o sostituire il link di download nel PKGBUILD con un collegamento a una versione compromessa del software. Questo tipo di attacco è particolarmente insidioso perché il PKGBUILD stesso potrebbe apparire pulito a una prima ispezione, ma il software scaricato sarebbe già infetto. La verifica dei checksum (valori numerici derivati da un blocco di dati che servono per verificarne l’integrità) diventa cruciale in questi casi.

Il nuovo attacco: il caso google-chrome-stable e la persistenza del problema

Il più recente attacco ad AUR, scoperto a fine luglio 2025 e reso pubblico solo 10 giorni dopo un precedente incidente simile, ha colpito il pacchetto google-chrome-stable. Questo episodio segue uno schema simile ai precedenti, ma con una maggiore enfasi sulla rapidità di re-infezione dopo una bonifica. La buona notizia, se così possiamo chiamarla, è che il pacchetto software google-chrome-stable è rimasto disponibile su AUR solo per poche ore, prima che il malware nascosto al suo interno venisse scoperto. Ciononostante, ha ricevuto qualche voto positivo, il che suggerisce che almeno alcuni utenti hanno finito per installarlo.

Il malware è stato individuato all’interno di una versione compromessa dello script PKGBUILD per il pacchetto google-chrome-stable. Gli attaccanti hanno inserito una serie di istruzioni nascoste o obfuscate all’interno del PKGBUILD. Queste istruzioni erano progettate per:

1. Scarica ed esegui codice arbitrario: Il PKGBUILD modificato includeva comandi che, durante la fase di compilazione o installazione, avrebbero scaricato uno script o un eseguibile dannoso da un server remoto controllato dagli attaccanti. Questo script o eseguibile sarebbe stato poi eseguito con i privilegi dell’utente che stava installando il pacchetto.
2. Persistenza: In alcuni casi, il malware avrebbe potuto tentare di stabilire un meccanismo di persistenza, assicurandosi di essere eseguito ad ogni riavvio del sistema o a intervalli regolari, anche dopo la rimozione del pacchetto compromesso. Questo potrebbe avvenire modificando i file di configurazione del sistema o aggiungendo servizi nascosti.
3. Raccolta di informazioni: Il payload del malware avrebbe potuto essere progettato per raccogliere informazioni sensibili dal sistema dell’utente, come credenziali di accesso, dati personali, cronologia di navigazione o configurazioni di sistema, per poi esfiltrarle (inviarli a un server controllato dagli attaccanti).
4. Installazione di ulteriore software malevolo: Il malware potrebbe anche servire da “dropper” (un tipo di malware che installa altro malware), scaricando e installando altri componenti dannosi, come keylogger (programmi che registrano la digitazione sulla tastiera), ransomware o botnet.

Il meccanismo di attacco ha sfruttato la fiducia degli utenti in AUR e la tendenza a non esaminare a fondo ogni riga di codice in ogni script PKGBUILD, specialmente per pacchetti molto popolari come i browser web. La rapida ricomparsa del malware suggerisce che gli attaccanti sono determinati e stanno monitorando attivamente le bonifiche per tentare nuove infiltrazioni.

Come proteggersi: lezioni apprese e buone pratiche per gli utenti Arch Linux

La buona notizia è che la comunità di Arch Linux è reattiva e proattiva. Il pacchetto malevolo è stato rapidamente identificato e rimosso, e sono state implementate ulteriori misure per rafforzare la sicurezza informatica di AUR. Tuttavia, la responsabilità finale della sicurezza informatica ricade sull’utente, specialmente in un ambiente flessibile come Arch Linux.

Ecco alcune pratiche fondamentali e dettagliate per proteggervi:

• Revisionate sempre e attentamente gli script PKGBUILD: Prima di installare un pacchetto dal AUR (ad esempio, con makepkg -si o un gestore di pacchetti come yay o paru), aprite lo script PKGBUILD (ad esempio, con less PKGBUILD o il vostro editor di testo preferito) e leggetelo attentamente. Cercate:
  • Comandi sospetti: curl, wget, bash, sh, python, php, perl seguiti da URL esterni che non sono i repository ufficiali del software.
  • Codice offuscato: Stringhe criptate o codificate Base64 che vengono poi decodificate ed eseguite.
  • Modifiche insolite ai file di sistema: Tentativi di scrivere in cartelle al di fuori della cartella di compilazione temporanea o della cartella di installazione del pacchetto (/usr/local, /opt, /etc).
  • Download da sorgenti non affidabili: Se il software viene scaricato da un URL che non è il sito ufficiale del progetto o un repository software conosciuto e sicuro.
• Utilizzate un gestore di pacchetti del AUR che mostri le modifiche (diff): Strumenti come yay o paru sono eccellenti in questo senso. Quando vi chiedono di ispezionare il PKGBUILD, vi mostrano anche le differenze (il “diff”) tra il PKGBUILD corrente e la versione precedentemente installata (se presente) o quella caricata. Questo vi permette di identificare rapidamente modifiche inattese o sospette tra le versioni.
• Verificate i checksum (integrità dei file): Il PKGBUILD include tipicamente i checksum (MD5, SHA1, SHA256, ecc.) dei file che vengono scaricati. Se un file scaricato ha una checksum diversa da quella specificata, significa che il file è stato alterato. Non procedete con l’installazione in questo caso. Questo è un meccanismo cruciale per prevenire attacchi tramite manipolazione delle sorgenti.
• Siate scettici sui pacchetti poco popolari o nuovi: I pacchetti con pochi “votanti” o caricati di recente potrebbero non essere stati esaminati a fondo dalla comunità o dai Trusted Users. Procedete con cautela in questi casi e date priorità alla revisione manuale.
• Controllate i commenti e i voti del pacchetto nel AUR: I commenti degli utenti e i voti positivi/negativi possono fornire indicazioni preziose sulla legittimità e sulla sicurezza informatica di un pacchetto software. Se ci sono avvisi o segnalazioni di problemi, prendeteli seriamente.
• Usate un buon firewall e un software antivirus/antimalware: Anche su GNU/Linux, questi strumenti possono fornire un ulteriore strato di sicurezza informatica. Un firewall ben configurato può limitare le connessioni in uscita non autorizzate da malware (ad esempio, tentativi di esfiltrazione dati), mentre un software antivirus/antimalware può aiutare a rilevare e rimuovere file dannosi, anche se il loro impatto è generalmente minore rispetto ai sistemi Windows.
• Mantenete il sistema e i pacchetti aggiornati: Installate regolarmente gli aggiornamenti di sicurezza per il vostro sistema Arch Linux (sudo pacman -Syu). Gli aggiornamenti spesso includono patch per vulnerabilità note che potrebbero essere sfruttate da malware.

Tuttavia, per software di uso critico e fondamentale (non solo i browser web che interagiscono costantemente con la rete e gestiscono dati sensibili, ma qualsiasi applicazione chiave per la stabilità e la sicurezza del sistema) è sempre consigliabile privilegiare il download diretto dai siti web ufficiali degli sviluppatori o dai repository software forniti direttamente da loro. Questo perché, per tali applicazioni, l’esistenza di versioni nel AUR è spesso ridondante e introduce una catena di fiducia più complessa e soggetta a rischi, rendendone l’utilità meno chiara rispetto alle fonti ufficiali e aumentando la possibilità di imbattersi in versioni compromesse.

Inoltre, il pacchetto software ufficiale in AUR per Google Chrome è google-chrome (https://aur.archlinux.org/packages/google-chrome) ed è mantenuto dalla comunità e generalmente considerato affidabile. Questo pacchetto, quando lo installi, tipicamente scarica e impacchetta la versione stabile di Google Chrome direttamente dai server di Google.

L’attacco recente, tuttavia, si è focalizzato su un pacchetto distinto chiamato google-chrome-stable. Questo è un esempio di un pacchetto malevolo che è stato caricato in AUR sotto un nome molto simile a quello legittimo (google-chrome), ma con una piccola variazione (-stable) per ingannare gli utenti o per tentare di bypassare i controlli automatici.

In sostanza:

• google-chrome: È il pacchetto ufficiale e “legittimo”, di lunga data in AUR, per il browser Google Chrome.
• google-chrome-stable: Era il pacchetto malevolo creato di recente (e poi rimosso) dagli attaccanti, che conteneva il malware.

Questa tattica è comune negli attacchi informatici: gli aggressori creano nomi di pacchetti o domini molto simili a quelli legittimi per sfruttare la disattenzione degli utenti e la loro fiducia in nomi familiari.

Riflessioni Finali

L’incidente più recente che ha coinvolto il pacchetto google-chrome-stable ci ricorda che la sicurezza informatica è un processo continuo e che la vigilanza è fondamentale.

La comunità di Arch Linux è impegnata nella protezione di AUR, ma la consapevolezza e l’adozione di buone pratiche da parte degli utenti sono le migliori difese contro le minacce informatiche, anche nel mondo open source.

Per maggiori dettagli sulle contromisure e gli sviluppi futuri, vi invitiamo a consultare l’annuncio ufficiale sul forum di Arch Linux e il changelog (registro delle modifiche) del AUR per il pacchetto interessato.

Fonte: https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/
Fonte: https://forum.endeavouros.com/t/more-rats-found-in-aur/73963
Fonte: https://news.itsfoss.com/arch-linux-spark-rat/
Fonte: https://linuxiac.com/arch-aur-under-fire-once-more-as-malware-resurfaces/

Source: Read More