Újra célkeresztben az Arch AUR: kártékony kódot rejtettek csomagok

Linux

Ismét támadás érte az Arch Linux felhasználók körében népszerű AUR (Arch User Repository) közösségi tárolót. Július közepén három böngészőhöz köthető csomag – librewolf-fix-bin, firefox-patch-bin és zen-browser-patched-bin – tartalmazta a CHAOS RAT nevű távoli hozzáférést biztosító malware-t. A kártékony kód a PKGBUILD fájlban rejtőzött, és telepítés után automatikusan letöltött, majd rendszerszolgáltatásként futtatott egy backdoor-t.

Bár az Arch csapata gyorsan eltávolította a fertőzött csomagokat, néhány felhasználó addigra már telepítette azokat. Az eset után nem sokkal -. augusztus 1-én - egy megtévesztő google-chrome-stable névre hallgató csomag is felkerült, hasonló támadási mintát követve, mielőtt a közösség azt is eltávolította volna. Az AUR működési modellje – miszerint bárki tölthet fel csomagot, előzetes hivatalos ellenőrzés nélkül – ismét kritikák kereszttüzébe került. Az AUR-t a közösség tartja fenn, a csomagok ellenőrzése jellemzően utólag, közösségi visszajelzések alapján történik.

(A cikk nyomokban Mesterséges Intelligencia által szolgáltatott adatokat tartalmaz, így a tartalmát érdemes duplán ellenőrizni!)

( OnlyZaenae | 2025. 08. 05., k – 12:11 )

Szerkesztve: 2025. 08. 05., k – 12:12

Szerintem volt már: HUP cikk

Jó, abban a krómos csomagról nem volt szó.

Még nincs aláírásom.

( jevgenyij | 2025. 08. 05., k – 12:52 )

Gentoon ilyen eset sokkal kisebb eséllyel történhet. Nagyjából csak akkor, ha Külső forrás kompromittálódik
Ha az eredeti fejlesztő Git repo-jába vagy weboldalára (pl. GitHub, SourceForge) kerül fel egy backdoor-olt verzió, és a verziószám nem változik. A fájl hash-ei nem frissülnek Gentoo-ban (még nem detektálták).

Jó ötlet az Arch Linux, de a Gentoo felépítését mindig jobbnak és átgondoltabbnak tartottam. Az tény, hogy az Arch közösség nagyobb. 

“Az ellenség keze betette a lábát”

Erre nagyon egyszerű a megoldás: nem kell overlayeket használni, vagy legalábbis ismeretlen overlayeket, amikben nem bízol. 

Igaz, hogy a külső Gentoo overlayek kockázatosabbak lehetnek, mint az AUR. Ezeket gyakran nem auditálják, nem mindenhol van GPG aláírás, és a maintainer is lehet akárki. Gyakori forrásuk: layman, eselect repository, vagy manuális repos.conf alapján hozzáadott Git repók. Valóban lehet „random ember random git repója”, amit nehéz központilag nyomon követni.

Előfordulhat Silány minőségű ebuild; Kártékony kód (pl. src_prepare() szkriptbe rejtve); Rosszindulatú változtatás (akár nem is feltűnő)
Ez tehát valós kockázat. Aki overlayeket használ, annak nagyobb figyelmet kell fordítania az auditálásra.

De! Ez nem a Gentoo hivatalos modellje, hanem opcionális kiegészítés. A Gentoo hivatalos Portage repoja (::gentoo) nem tartalmaz ilyen kockázatot.
Ellenőrzött ebuildek
GPG aláírt Git repó
Jóváhagyott karbantartók
Hash-ellenőrzött distfile-ok

Az AUR-nál minden egyes csomag kvázi egy külön overlay, amit bárki feltölthet.

Gentoo alatt a hivatalos Portage biztonságosabb, mint az AUR egész modellje. Miért?

 A Portage csomagok nem tartalmaznak előre lefordított binárisokat. A Gentoo mindent forrásból fordít, így nem lehet csendben becsempészni egy rosszindulatú előre fordított binárist, mint az *-bin AUR csomagoknál.

A csomagdefiníciókat (ebuild fájlokat) hivatalos karbantartók kezelik. Ezek git alapon tárolva, és digitálisan alá vannak írva GPG-vel.

Ez komoly védelmet nyújt a PKGBUILD-szerű manipulációk ellen.

A distfile-ek ellenőrzőösszegekkel védettek. Minden letöltött forráshoz tartozik sha256, sha512, stb, amit a Portage ellenőriz.

Ha a forrás megváltozik, a hash mismatch miatt a telepítés megszakad.

A Gentoo közösség nagyon konzervatívan és lassabban fogad be új csomagokat. A változtatásokat átnézik, reviewozzák, mielőtt bekerülne.

“Az ellenség keze betette a lábát”

Valóban igaz, hogy a Portage a Gentoo hivatalos csomagtára, míg az AUR egy közösségi gyűjtőhely, így nem teljesen egyenértékűek. Ugyanakkor gyakorlati szempontból a különbség pont az, hogy Gentoo-n a legtöbb szoftver már eleve hivatalosan elérhető a Portage-ben, míg Arch alatt sok fontos csomag csak az AUR-on keresztül érhető el. Ezért a felhasználói élmény szintjén mégis jogos lehet az összevetés: Gentoo-n általában nincs szükség külső overlay-re a mindennapi használathoz, míg Arch-on az AUR használata sokszor elkerülhetetlen. AUR helper-ek (pl. yay, paru) teljesen integrálják a napi használatba, sok Arch telepítés átlag usernél 50–90%-ban AUR-ra támaszkodik jobb híján, azaz nem-hivatalos csomagokra.

Az pedig, hogy néhány ebuild bináris forrást használ (pl. zárt firmware-k vagy blobok esetén), nem változtat azon, hogy a Gentoo elsősorban forrásalapú disztribúció marad.

De akkor nézzük a binary-only csomagokat: Portage is tartalmaz ilyeneket, de ezek előre lefordított fájlokat töltenek le a hivatalos forrásból, GPG- vagy hash-ellenőrzéssel védve. Ezek jól felismerhetők az ebuildben (pl. nincs compile fázis, RESTRICT flagek), így ritkák, átláthatók és ellenőrizhetők maradnak. Éppen ezért ezek a csomagok pont annyira megbízhatóak, mint a hivatalos forrásuk, azon túl nem kompromittálhatók a Portage oldalon. 

“Az ellenség keze betette a lábát”

Erre nagyon egyszerű a megoldás: nem kell overlayeket használni, vagy legalábbis ismeretlen overlayeket, amikben nem bízol. 

Ez igaz az AUR-ra is, azt se kotelezo hasznalni (sot ha jol tudom, az ilyen yaourt meg yay meg tarsai mai napig nincsenek benne a hivatalos arch tarolokban, kezzel kell kulon lepeseket tenned hogy tokon tudd loni magad, ellentetben gentooval ahol anno a layman, most meg az eselect-repository benne van a hivatalos gentoo repoban). A hivatalos arch tarolokba ott se tud barki barmit bekuldeni, a lebuildelt packagek ott is ala vannak irva gpg-vel.

Es az AUR az megis csak egy kozpontositott valami, ha valaki kartekony kodot tolt oda fel azt ki lehet huzni, gentoo overlayek meg random git repok random szervereken, ott max amit tudnak csinalni hogy a hivatalos listabol leszedik a nem megbizhato overlayeket, de ha egyszer valaki mar hozzaadta a sajat gepehez, a repo ott lesz leklonozva es updatelve.

A Portage csomagok nem tartalmaznak előre lefordított binárisokat. A Gentoo mindent forrásból fordít, így nem lehet csendben becsempészni egy rosszindulatú előre fordított binárist, mint az *-bin AUR csomagoknál.

Ez szimplan nem igaz, gentooban is van egy adag -bin csomag (meg az xz ota valoszinuleg mindenki tudja hogy a source tarball se minden esetben az aminek latszik...).

I hate myself, because I'm not open-source.

Valóban igaz, hogy Gentoo-ban is vannak -bin csomagok, amelyek előre lefordított binárisokat használnak, de ezek általában hivatalos forrásból töltődnek le, és GPG/hash ellenőrzéssel védettek. Ráadásul egyértelműen felismerhetők az ebuild fájlban (pl. nincs compile fázis, RESTRICT="mirror strip" stb.), így ellenőrizhetőek és átláthatóak maradnak. A biztonság szempontjából ezek pont annyira megbízhatóak, mint az eredeti upstream forrásuk.

Az AUR valóban központosított, ami előny a karbantartás és visszavonás szempontjából. Ugyanakkor az Arch rendszerhasználók körében gyakran nélkülözhetetlen, mivel a hivatalos tároló viszonylag kevés csomagot tartalmaz. Ezért sok rendszer 50–90%-ban AUR-ra támaszkodik, ami növeli a támadási felületet.

Gentoo-nál ezzel szemben a hivatalos Portage fa jóval teljesebb, így a legtöbb felhasználónak nincs is szüksége overlay-re, azokat főként speciális vagy testre szabott csomagokhoz használják. Emellett az eselect repository valóban hivatalos eszköz, de nem telepíti automatikusan az overlay-eket – az is egy tudatos, kézi döntés eredménye.

A Gentoo rendszer filozófiája jobban illeszkedik a tudatos és ellenőrzött rendszerépítéshez, ahol kevesebb a kényszer külső forrásokra. 

“Az ellenség keze betette a lábát”

Ezért sok rendszer 50–90%-ban AUR-ra támaszkodik

Milyen rendszer? Lehet én vagyok tájékozatlan. 

A hivatalos Arch repokban minden lényeges csomag benne van, és a hivatalos repo nyújtja a portage biztonsági kritériumait.

Mi az ami annyira kell, de csak AUR-ban van meg?

Nem erről van szó, hanem a FUD-ról, hogy 

  1. AUR nélkül az Arch használhatatlan
  2. 50-90 %-ban AUR-t kell használni a használhatósághoz 
  3. Az AUR a Portage megfelelője 

Szerk.: én is használok AUR-t, van onnan 2 db csomagom az ~1800-ból. Mindjárt kiszámolom meg van-e az 50 %, vagy használhatatlan a rendszerem...

Á, nehogy azt hidd, hogy a Gentoo akármennyivel is biztonságosabb. Overlay-ként ott is bárki feltölthet bármilyen szutykot, csak azt ezért nem csinálják, mert a Gentoo-t használja nagyon kevés kocka, őket nem éri meg támadni. Az Arch viszont a Valve, Steam Deck, SteamOS miatt beért a mainstreambe, kezd nőni a tábora, és kezdenek vele ezek a mainstream malware támadások is beszaporodni.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Valóban, a népszerűség növekedése növeli a támadási felületet, és az Arch különösen a Steam Deck révén több figyelmet kap. Ez igaz. Ugyanakkor nem csak a felhasználószám számít, hanem az ökoszisztéma jellege is.

Gentoo-nál a Portage önmagában rendkívül teljes, a legtöbb rendszer overlay nélkül is működőképes. Az overlay-ek nincsenek automatikusan engedélyezve, hozzáadásuk tudatos döntést igényel. Ráadásul az eselect repository által elérhető overlay-ek ellenőrzött, központilag karbantartott listából származnak, nem vadon szórt GitHub repók random URL-jei.

Ezzel szemben az Arch rendszerhasználók gyakran kénytelenek AUR-t használni, mert sok csomag csak ott érhető el. Ezért a támadók számára értékesebb célponttá válhat.

Fontos megemlíteni, hogy a Gentoo nem marginális technológiai alap: a ChromeOS is Gentoo-ra épül, és az USA oktatási szektorában szinte monopóliumot élvez. Ez a széles körű elterjedtség nem kompromittálta a Gentoo-t mint alapot, ami jól mutatja a biztonságos és robusztus felépítését.

Nem arról van szó, hogy a Gentoo „érinthetetlen”, hanem hogy biztonságtudatosabb felépítésű, és nem kényszerít nem hivatalos források használatára. Ez nem garancia, de jelentősen csökkenti a kockázatot.

“Az ellenség keze betette a lábát”

( Raynes v | 2025. 08. 05., k – 17:02 )

Ez már ilyen mennyiségben kezd nagyon gáz lenni. Az Arch-nak technikát kéne váltani, nem szabadna engedni, hogy ismeretlen emberek előzetes moderálás-jóváhagyás nélkül feltöltsenek akármit is. Nincs igazuk, hogy lerázzák azzal, hogy az AUR nem hivatalos, meg nem ajánlott a használata, hosszú távon az Arch-nak okoz kárt, mert sokan csak az AUR miatt használják.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Azt nyilván nem tudják betiltani, mert nincs rá hatásuk. De az AUR-ra van.

A github is veszélyes, de abba amatőröket nehezen tudsz becsalogatni malware-letöltésre, mert nem tudják hogy kell leszedni belőle a kódot, meg fordítani, így mégis kisebb potenciális veszélyforrás.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Neked az átlag normi nem fog ilyet terminálba benyomatni. Megmutatod neki, lefossa a bokáját. Nem mondom, hogy veszélytelen, hanem hogy aki nagyon fogalmatlan, azt emiatt kevésbé értinti, az AUR-t viszont használják ők is, helpereken keresztül. Egyébként meg ja, ez az curl | sh meg wget | bash optimizmus általánosságban is veszélyes, nem ajánlott, nem csak git-nél, semmilyen forrásból. Előtt le kell tölteni a szkriptet, megnézni mi van benne, és csak akkor futtatni, ha értjük mit csinál, mit honnan szed.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( Dolphy | 2025. 08. 05., k – 18:17 )

A nagy kerdes talan az, hogy az Arch egyaltalan hasznalhato az AUR nelkul?

Használható, de ez nagyban függ, hogy kinek, mi az igénye, mire használja a gépet. Nagy általánosságban is lehet AUR nélkül használni, ami nincs meg a hivatalos tárolóban, azt felteheted Flatpak-ből, Appimage-dzsel, vagy Snap formájában, vagy forgathatod kézzel. Viszont az Arch egyik nagy előnyét a többi disztró ellenében az AUR adja, így szerintem megéri használni, én szeretem, igaz nincs fent sok AUR csomag nálam, de van egy kevés. Mégis csak natív csomagot gyárt, jobb, mint a konténerizált bloat csomagformátumok.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Már miért lenne baj, és kinek? Akinek kell az AUR, az igénybe tudja venni, annak nem baj. Aki meg nem bízik benne, az nem használja, nem veszi igénybe, használ helyette másfajta csomagokat, annak meg azért nem baj.

AUR-hoz hasonló forrás van egy pár disztrón, Void-on a void-src, Gentoo-n az overlay-ek, Fedorán a Fusion, stb.. De az AUR a legnagyobb, lényegében az összes létező, Linuxra elérhető vagy Linuxon futtatható szoftvert lefedi, olyat te nem nagyon találsz, ami vagy a hivatalos tárolókban vagy az AUR-ban nincs meg. Debian, Ubuntu, és származékain gond, hogy ilyen nincs, ott viszont vagy PPA-k vannak, vagy univerzális csomagformátumokkal lehet kiegészíteni, ami bloat, lehet lassabban indul, de azért több, mint a semmi. Nem fednek le mindent, egy csomó kisebb ablakkezelő, CLI/TUI tool pl. nincs meg a Debian/Ubuntu tárolójában, és ezekre a Flatpak, Snap, Appimage se jó, mert azok GUI programokhoz vannak. CLI/TUI megoldásokra ott vagy a konténer vagy a virtualizáció marad.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Azert baj, mert a hirek alapjan kurva nagy veszelynek teszed ki magad, ha az AUR-t hasznalod. Mas szavakkal amig az Arch nem valtoztat a hozzaallasan, eles rendszereken a hasznalata kifejezetten kerulendo. Azert kerdeztem, hogy mennyire vagy rakenyszerulve a hasznalatara, mert most az Arch felhasznalok jobban teszik, illetve kenytelenek lesznek AUR nelkul meglenni.

Ubuntunal ha valaki azt mondja neked, hogy tilos PPA-kat hasznalni, megranditod a valladat es azt mondod, hogy eddig sem hasznaltam vagy ha megis, azt a nehany dolgot megoldod mashogy. Egy Arch user meg tudja most igy randitani a vallat vagy a fejet fogja?

Mas szavakkal az AUR-nak igy ebben a formaban kuka. A kerdes mekkora meretu a kuka amibe belefer.

Max az „ész nélkül telepítek AUR-ból" kuka (de az eddig is kerülendő volt, illik ránézni a PKGBUILD-re).

 

A másikra meg már egyszer röviden válaszoltam, de akkor leírom bővebben (bár már mások is válaszoltak, csak valamiért ignorálodd): a legtöbb csomag elérhető hivatalos repo-ból, egyáltalán nem _szükséges_ az AUR, inkább akkor segítség, mikor más rendszereken is általában forrásból fordítanál.  Nekem jelenleg egy AUR csomagom van, és igazából már azt se használom (opera, nem olyan régen még community csomag volt, csak mostanában lett AUR)

Igen, azért írtam, hogy egyénfüggő, ki mit csinál a gépen. Tuti vannak olyan Arch userek, akiknek még a winbox se kell, és 0 AUR csomagjuk van. Nekik simán használható AUR nélkül. Megint másoknak lenne az AUR-ra szükségük, de inkább megoldják Flatpak, Snap, Appimage valamelyikével, és úgy hidalják át, hogy az adott csomag nincs a hivatalos tárolóban.

Nekem sincs sok AUR csomagom, 1332 fent lévő csomagból csak 77 AUR-os, az csak 5,78%, de azokra nagyrészt valóban szükségem van. Nagyrészt, mert van fent régi szemét, amit valami projekthez egyszer felraktam, és elfelejtettem leszedni, bent maradt a rendszeren sallangnak. Beszerezhetném őket máshonnan, de minek variáljak, ha ott vannak az AUR-ban, onnan egyszerűbb felrakni, natív csomagot generálva.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( the_manni | 2025. 08. 05., k – 18:51 )

Azért még mindig messze jobb, mint egy android play store, ahol a spyware, malware, adware közt nem is találni meg azt a néhány célra alkalmas programot

Alma-korte ez nem? Azt hiszem, itt a valodi konkurencia inkabb a mainstream distrok: Debian, Ubuntu, Redhat, stb. hasonlo taroloi, illetve, hogy a felhasznalo mennyire kenyszerul ra ezek hasznalatara vagy esetleg a legtobb dolog megtalalhato a hivatalos, ellenorzott tarolokban is? Erzesre az Ubuntu + Snap kombo jobban all ezen a teren.

( bodobacs | 2025. 08. 08., p – 16:03 )

Ezeket én mindig user-be szeretném telepíteni.

Jó lenne valami sandbox megoldás.