Hasil percubaan untuk merebut kawalan ke atas pakej dalam repositori AUR (Arch User Repository), yang digunakan oleh pembangun pihak ketiga untuk mengedarkan pakej mereka tanpa dimasukkan ke dalam repositori utama pengedaran Arch Linux, telah diterbitkan. Para penyelidik menyediakan skrip yang menyemak tamat tempoh pendaftaran domain yang terdapat dalam fail PKGBUILD dan SRCINFO. Menjalankan skrip ini mengenal pasti 14 domain tamat tempoh yang digunakan dalam 20 pakej muat naik fail.
Hanya mendaftar domain tidak mencukupi untuk menipu pakej, kerana kandungan yang dimuat turun disemak terhadap jumlah semak yang telah dimuat naik dalam AUR. Walau bagaimanapun, kira-kira 35% daripada pakej dalam AUR kelihatan menggunakan parameter "SKIP" dalam fail PKGBUILD untuk melangkau semakan semak (contohnya, nyatakan sha256sums=('SKIP')). Daripada 20 pakej dengan domain tamat tempoh, parameter SKIP digunakan dalam 4.
Untuk menunjukkan kemungkinan melakukan serangan, penyelidik membeli domain salah satu pakej yang tidak menyemak jumlah semak, dan meletakkan arkib dengan kod dan skrip pemasangan yang diubah suai padanya. Daripada kandungan sebenar, amaran tentang pelaksanaan kod pihak ketiga telah ditambahkan pada skrip. Percubaan untuk memasang pakej membawa kepada muat turun fail palsu dan, memandangkan jumlah semak tidak disemak, kepada pemasangan dan pelancaran kod yang berjaya ditambahkan oleh penguji.
Pakej dengan domain tamat tempoh:
- firefox-vakum
- gvim-checkpath
- wain-pixi2
- xcursor-theme-wii
- bebas zon cahaya
- scalafmt-asli
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-pergi
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Sumber: opennet.ru