ผลการทดลองยึดการควบคุมแพ็คเกจในที่เก็บ AUR (Arch User Repository) ซึ่งนักพัฒนาบุคคลที่สามใช้เพื่อแจกจ่ายแพ็คเกจโดยไม่รวมอยู่ในที่เก็บหลักของการแจกจ่าย Arch Linux ได้รับการเผยแพร่แล้ว นักวิจัยได้เตรียมสคริปต์ที่จะตรวจสอบการหมดอายุของการจดทะเบียนโดเมนที่ปรากฏในไฟล์ PKGBUILD และ SRCINFO การเรียกใช้สคริปต์นี้เผยให้เห็นโดเมนที่หมดอายุแล้ว 14 โดเมนที่ใช้ในแพ็คเกจอัปโหลดไฟล์ 20 ไฟล์
การจดทะเบียนโดเมนเพียงอย่างเดียวไม่เพียงพอต่อการปลอมแปลงแพ็คเกจ เนื่องจากเนื้อหาที่ดาวน์โหลดจะถูกตรวจสอบเทียบกับผลรวมตรวจสอบที่อัปโหลดแล้วใน AUR อย่างไรก็ตาม ดูเหมือนว่าประมาณ 35% ของแพ็กเกจใน AUR จะใช้พารามิเตอร์ "SKIP" ในไฟล์ PKGBUILD เพื่อข้ามการตรวจสอบเช็คซัม (เช่น ระบุ sha256sums=('SKIP')) จาก 20 แพ็คเกจที่มีโดเมนที่หมดอายุแล้ว พารามิเตอร์ SKIP ถูกใช้ใน 4
เพื่อแสดงให้เห็นถึงความเป็นไปได้ในการโจมตี นักวิจัยได้ซื้อโดเมนของหนึ่งในแพ็คเกจที่ไม่มีการตรวจสอบ checksums และวางไฟล์เก็บถาวรที่มีรหัสและสคริปต์การติดตั้งที่แก้ไขแล้วไว้บนนั้น แทนที่จะเป็นเนื้อหาจริง มีการเพิ่มคำเตือนเกี่ยวกับการดำเนินการของโค้ดของบุคคลที่สามในสคริปต์ ความพยายามในการติดตั้งแพ็คเกจนำไปสู่การดาวน์โหลดไฟล์ที่ปลอมแปลง และเนื่องจากไม่ได้ตรวจสอบผลรวมการตรวจสอบ การติดตั้งและการเปิดใช้โค้ดที่เพิ่มโดยผู้ทดลองจึงสำเร็จ
แพ็คเกจที่มีโดเมนหมดอายุ:
- firefox-สูญญากาศ
- gvim-checkpath
- ไวน์-pixi2
- xcursor-ธีม-wii
- ปราศจากแสง
- scalafmt-พื้นเมือง
- coolq-โปร-bin
- gmedit-bin
- มีเซน-เอส-บิน
- พอลลี่-b-หายไป
- เออร์วิซ
- ทอดด์
- kygekteampmmp4
- servicewall-คอมไพล์
- พระเครื่องml-bin
- อีเธอร์ดัมพ์
- งีบหลับ
- iscfpc
- iscfpc-aarch64
- iscfpcx
ที่มา: opennet.ru