نتایج یک آزمایش بر روی کنترل بستهها در مخزن AUR (Arch User Repository) که برای توزیع توسط توسعهدهندگان شخص ثالث بستههایشان بدون گنجاندن در مخازن اصلی توزیع Arch Linux استفاده میشود، منتشر شده است. محققان اسکریپتی تهیه کردند که انقضای ثبت دامنه را که در فایلهای PKGBUILD و SRCINFO ظاهر میشوند، بررسی میکند. هنگام اجرای این اسکریپت، 14 دامنه منقضی شده شناسایی شد که در 20 بسته برای دانلود فایل ها استفاده می شد.
ثبت یک دامنه به سادگی برای جعل یک بسته کافی نیست، زیرا محتوای دانلود شده در برابر چک جمعی که قبلاً در AUR بارگذاری شده است بررسی می شود. با این حال، معلوم شد که نگهدارندههای حدود 35 درصد از بستهها در AUR از پارامتر "SKIP" در فایل PKGBUILD برای رد شدن از تأیید جمعبندی استفاده میکنند (برای مثال، sha256sums=('SKIP') را مشخص کنید). از 20 بسته با دامنه منقضی شده، پارامتر SKIP در 4 مورد استفاده شد.
برای نشان دادن امکان انجام یک حمله، محققان دامنه یکی از بستهها را خریداری کردند که چکسامها را بررسی نمیکند و یک آرشیو با کد و یک اسکریپت نصب اصلاحشده روی آن قرار دادند. به جای محتوای واقعی، یک پیام هشدار درباره اجرای کد شخص ثالث به اسکریپت اضافه شد. تلاش برای نصب بسته منجر به دانلود فایلهای جایگزین شد و از آنجایی که چکسوم بررسی نشد، به نصب و راهاندازی موفقیتآمیز کد اضافهشده توسط آزمایشکنندگان منجر شد.
بسته هایی که دامنه کد آنها منقضی شده است:
- فایرفاکس وکیوم
- gvim-checkpath
- wine-pixi2
- xcursor-theme-wii
- بدون منطقه نوری
- Scalafmt-Native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-gone
- erwiz
- تاد
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- اتردامپ
- سطل چرت زدن
- iscfpc
- iscfpc-aarch64
- iscfpcx
منبع: opennet.ru