Objavljeni so bili rezultati poskusa prevzema nadzora nad paketi v repozitoriju AUR (Arch User Repository), ki ga razvijalci tretjih oseb uporabljajo za distribucijo svojih paketov brez vključitve v glavna repozitorija distribucije Arch Linux. Raziskovalci so pripravili skripto, ki preverja potek registracij domen, ki se pojavljajo v datotekah PKGBUILD in SRCINFO. Pri zagonu tega skripta je bilo identificiranih 14 potečenih domen, uporabljenih v 20 paketih za prenos datotek.
Preprosta registracija domene ni dovolj za ponarejanje paketa, saj se prenesena vsebina preveri glede na kontrolno vsoto, ki je že naložena v AUR. Vendar se je izkazalo, da vzdrževalci približno 35 % paketov v AUR uporabljajo parameter "SKIP" v datoteki PKGBUILD, da preskočijo preverjanje kontrolne vsote (na primer določite sha256sums=('SKIP')). Od 20 paketov s potečenimi domenami je bil pri 4 uporabljen parameter SKIP.
Da bi dokazali možnost izvedbe napada, so raziskovalci kupili domeno enega od paketov, ki ne preverja kontrolnih vsot, in nanjo postavili arhiv s kodo in spremenjenim namestitvenim skriptom. Namesto dejanske vsebine je bilo skriptu dodano opozorilo o izvajanju kode tretje osebe. Poskus namestitve paketa je vodil do prenosa nadomeščenih datotek in, ker kontrolna vsota ni bila preverjena, do uspešne namestitve in zagona kode, ki so jo dodali eksperimentatorji.
Paketi, katerih domene s kodo so potekle:
- firefox-vacuum
- gvim-kontrolna pot
- vino-pixi2
- xcursor-theme-wii
- brez svetlobnega območja
- scalafmt-domači
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-odšla
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Vir: opennet.ru