Asil eksperimen kanggo ngrebut kontrol paket ing repositori AUR (Arch User Repository), sing digunakake dening pangembang pihak katelu kanggo nyebarake paket kasebut tanpa kalebu ing repositori utama distribusi Arch Linux, wis diterbitake. Peneliti nyiapake naskah sing mriksa kadaluwarsa registrasi domain sing katon ing file PKGBUILD lan SRCINFO. Nganggo skrip iki ngenali 14 domain kadaluwarsa sing digunakake ing 20 paket unggahan file.
Cukup ndhaptar domain ora cukup kanggo spoof paket kasebut, amarga konten sing diundhuh dicenthang nglawan checksum sing wis diunggah ing AUR. Nanging, kira-kira 35% paket ing AUR katon nggunakake parameter "SKIP" ing file PKGBUILD kanggo nglewati mriksa checksum (contone, nemtokake sha256sums = ('SKIP')). Saka 20 paket karo domain kadaluwarsa, parameter SKIP digunakake ing 4.
Kanggo nduduhake kemungkinan serangan, peneliti tuku domain salah sawijining paket sing ora mriksa checksum, lan diselehake arsip kanthi kode lan skrip instalasi sing diowahi. Tinimbang isi nyata, bebaya babagan eksekusi kode pihak katelu wis ditambahake ing skrip. Upaya kanggo nginstal paket kasebut nyebabake download file palsu lan, amarga checksum ora dicenthang, sukses instalasi lan peluncuran kode sing ditambahake dening para eksperimen.
Paket karo domain kadaluwarsa:
- firefox-vakum
- gvim-checkpath
- anggur-pixi2
- xcursor-theme-wii
- zona cahya
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-wis
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Source: opennet.ru