(Nem hivatalos csomag) Firefox / Librewolf supply chain attack

Linux-security

Engem nem érint, de hátha valamelyik HUP-os fórumtársat igen:

https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.o…

A következő AUR csomagokba kártékony kód került. Ha valaki frissítette ezeket júl 16. és júl 18. között, annak ajánlatos sürgősen újból frissíteni / eltávolítani:
- librewolf-fix-bin
- firefox-patch-bin
- zen-browser-patched-bin

A támadás klasszikus supply chain attack, a csomagok hátteréül szolgáló GitHub repó kompromitálódott, és oda került fel a trójai faló.

EDIT: nem tudom, hogy lehetne tömören beleírni a címbe, de megpróbáltam.

  • 967 megtekintés

( Raynes v | 2025. 07. 19., szo – 18:26 )

Szerkesztve: 2025. 07. 19., szo – 19:08

Épp én is készültem ezt beküldeni, arra az esetre, ha a HUP nem említené. Egyébként a valóságban ez egy elég komolytalan támadásként ment le. Egyrészt a feltöltő egy idióta, ahogy felöltötte, ment a r/archlinux redditre hencegni és a nyálát verni, hogy milyen fasza, patchelt böngésző, töltse le mindenki, ez a közösségben azonnal gyanús is lett, átolvasták a package build scriptet, és azonnal kiszúrták az okosságokat, amiket le készül tölteni, virtustotallal is ellenőrizték, kb. 1 órán belül lebukott a csávó, és töröltették a mesterkedését.

A másik, ami miatt ennek nem sok ember tud áldozatul esni, hogy az AUR helperek (yay, paru, stb.) szándékosan kényszerítik, hogy telepítés előtt a felhasználó nyissa meg olvasásra a package buildet, legalább fussa át, így előbb-utóbb mindenképp megbukott volna,

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Default kényszerít. Persze, kinyomhatod, meg van spéci konfiguráció vagy kapcsoló, amit ha beállítasz, akkor eltekint tőle, de pont ezen a ponton lesz veszélyes. Vakon telepíteni az AUR-ból olyan veszélyes, mint curl http://whatever.com/shady_script.sh | (ba)sh módszerrel vakon kódot futtatni. Csak az orosz rulett szerelmeseinek ajánlott.

Egyébként a szóban forgó böngészőcsomagok élből gyanúsak is. Ugyanis az AUR arra van, hogy valami spéci variánst közzétegyenek. Mert oké, pl. Firefox? Az van a hivatalos Extra tárolóban. Developer Edition? Szintén ugyanabban a hivatalos tárolóban, többféle lokalozációban. Beta, Nightly, ESR? Azok már az AUR-ban vannak, de ilyen néven. Na, akkor ez a firefox-patched ez mi a bré? Ez gyanúsnak kéne legyen alapból, hogy nem dönthető el, hogy ez melyik változat, mi a specialitása, ami miatt megéri ezt feltenni a többi csomag ellenében. Aki nem tudja, hogy mik ezek, ne telepítse találomra, meg ne próbálja a kereket feltalálni, telepítse a hivatalos tárolóból a firefox csomagot. AUR-ból csak akkor töltsön, ha tudja mit tölt, tényleg az a változat kell neki (a hivatalos tárolóban lévő csomag ellenében), mert utánanézett a hátterének, ismeri a funkcióit.

Ugyanez van a Linux kernellel is. Aki nem ért hozzá, tegye fel a hivatalos tárolóban lévőt, linux csomag és kész. Ne kezdjen el variálni, hogy AUR-ból ismeretlen verziót tölteni, amiről fogalma sincs, hogy mi a bráner. Ha tudja, hogy lts, zen, liqorix, realtime, rc, git, amdzen, speciális ütemezős kell neki, akkor jó, töltse, mert tudja mi az, de ismeretlennel ne kezdjen el kísérletezni, az csak bajkeresés.

Egyébként büszke vagyok az Arch-közösségre, nagyon szépen kivédték, hihetetlen hamar lebuktatták. Nem volt esélye sok gépet fertőzni, azonnal kivágták, mint az xz-ből a Jia Tan-t (kínos azért, hogy egy MS-os fejlesztő szúrta ki), meg a minnessotai egyetemet a kernelből, a flathub-ról a mókolt, nem hivatalos jelszókezelő / cryptowallet appok, az ilyenek fénysebességgel buknak el, bizonyítva, hogy a many eyeballs nem hülyeség.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Nem tudom akkor. Nálam a paru kifejezetten kényszeríti, ha nemet mondok az olvasásra, akkor leáll a telepítéssel, semmit nem telepít. Ha beleegyezek, megjeleníti less-ben a pgkbuild-et, onnan ki kell lépnem, és akkor telepíti tovább. Emlékeim szerint a yay is ilyen volt, de azt most a kedvetekért nem teszem fel, mert nem akarom a rendszerem szétkúrni, csak azért, hogy bizonyítsak. Amit ti írtok, az a yoaurt-ra volt igaz, az nem erőltette, felajánlotta, de ha nemet nyomott neki az ember, továbbengedett.

De itt a lényeg lényege, hogy főleg azok, akik kezdőbb arch-osok, linuxosok, nem elég mély még a rendszerismeretük, nem ismerik a csomagokat, meg a megbízható AUR feltöltőket, projekteket, NE telepítsenek random AUR csomagot, főleg úgy ne, hogy bele sem néztek a pgkbuild-be. Még csak programozónak se kell lennie valakinek, hogy belenézzen, hiszen csak pár sok az egész, látja, hogy mit honnan tölt le, meg látja a fordítási-telepítési lépéseket, azoknál könnyű kiszúrni, hogy sztenderd parancsok-e, vagy valami szokatlan, gyanús mókolás.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Én is használtam yay-t, a yaourt után, egy 2-3 évig, de már min. 5-6 éve a paru megy. Nem jobb, de egy újabb, elterjedtebb helper, de a yay-jel sem volt bajom. Emlékeim szerint a yay is kényszerített, ha nemet mondtam az olvasásra, nem engedett tovább. Ezt nem tudom, hogy a régi verzió viselkedése volt, vagy nem emlékszem csak rá jól. A paru viszont kényszerít, használom minden nap. Félre ne értsd, nem vagyok normi, simán kikapcsolhatnám ezt a funkciót (paru után --skipreview paraméter vagy a $XDG_CONFIG_HOME/paru/paru.conf fájlban hozzáadni a SkipReview sort), de szándékosan nem teszem, pont az olyan esetek elkerülése végett, amiről a hír is szól.

Természetesen ez nem azt jelenti, hogy mindig minden pkgbuild scriptet elolvasok. Messze nem. Az olyan AUR csomagoknál, amit maga az Arch Wiki ajánl, vagy évek óta ismerem, használom, vagy a karbantartója ismert, akkor nem olvasgatom (elfogadom olvasásra, de azonnal kilépek belőle, érdemi olvasás nélkül), csak az ilyen ismeretlen csomagoknál, amikkel először van dolgom. Egyébként én még a 9 éves arch-os pályafutásom alatt malware-be nem futottam bele, az AUR-ban sem, pedig volt ez a mostani eset, meg egy pár éve, de az is gyorsan bebukott, de nem használtam ezeket a csomagokat. Az is igaz, hogy ez nem az Arch erénye, előtte valami 2 évig Ubuntu alapú disztrók mentek, és azokon sem szaladtam bele egybe se, pedig külsős PPA-kal használtam őket, amelyek szintén potenciális veszélyforrások.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Egyrészt egyetértek lentebb a kollegával, a megnézés lehetősége még nem kényszerítés, másfelől azt gondolni, hogy amikor 6-10 körüli csomag frissül az AUR-ból azt mindig mindenki tüzetesen átolvassa - hát minimum naivitás. Nekem ugyanis darabonként ennyi szokott, VS Code, Google Chrome, IntelliJ cuccok, pár játék, ezek közül biztos lesz több minden is ami frissül. Annyiból jók ezek a csomagok, hogy az összes cucc bináris amit telepít, valószínűleg baltával gyaláznám meg a gépet, ha fél óra fordítgatás után derülne ki, hogy bizony egy fából készült lovacska is bekocogott a kódba. 

Ez a Firefoxos meg főleg azért komolytalan, mert eleve nagyon kevesen használják az AUR-os verziót, ugyanis felesleges: az Arch-ba default beépített Firefox teljesen megfelel a legtöbb basic igénynek, annak a kódja pedig egyenesen a Mozillától jön. Pont ezért is szeretem jobban. Jobban örülnék, ha a Chrome is kaphatna saját Arch-os csomagot, és nem ilyen kicsit shady módon kellene felrakni AUR-ból, de ez már elsősorban az én ízlésem dolga - használhatnék Firefoxot is.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( dlaszlo | 2025. 07. 20., v – 17:36 )

Szerkesztve: 2025. 07. 20., v – 17:36

Nem szorosan kapcsolódik ide, de pár napja volt egy ilyen szavazás: https://hup.hu/szavazasok/20250707/secure-boot - Ezt csak bemásoltam, ha jól értem ez az AUR-os malware nem kapcsolódik a secure boot-hoz (nem közvetlen), de jó példa rá, hogy kártékony program akár Linux alatt is települhet a gépre, és harmadik féltől származó nem hivatalos csomagokat érdemes fenntartással kezelni. Szerintem ezért nem felesleges élni minden rendelkezésre álló lehetőséggel.

Egyébként cikkek róla: https://www.phoronix.com/news/Arch-Linux-Malicious-AURs

https://www.bleepingcomputer.com/news/security/arch-linux-pulls-aur-pac…

( persicsb | 2025. 07. 21., h – 09:54 )

Mondjuk ez nem Firefox supply chain attack, nem a Firefox csomagról van szó. A firefox-patch-bin nem a Firefox csomagja. A Firefoxot (meglepő módon) a firefox csomag tartalmazza. Ugyanígy, a librewolf-patch-bin sem a Librewolf telepítője, az a librewolf nevű csomag. 

Az, hogy egy malware terjesztő csinált egy malware-rel fertőzött Firefoxot, és elkezdte hirdetni, az inkább Arch Linux AUR supply chain attack, de hát ugyanez mehet COPR-rel meg PPA-val is Fedora, illetve Ubuntu alatt: bárki csinálhat bármilyen nemhivatalos csomagot, biztos vagyok benne, hogy rengeteg olyan AUR/PPA/COPR repository van, ami malware-t tartalmaz, csak senki le se szarja.

Egyáltalán nem kapcsolódik a firefoxhoz ez a csomag. A srác csinált egy csomagot, amibe malware-t rakott, majd elkezdte hirdetni, hogy tessék, itt egy új Firefox.

Ilyet bárki csinálhat. Fogod a basht, forkolod a repot, beleraksz egy kis malware-t, és felrakod az AUR-ra, hogy tessék, itt egy jobb, patchelt, optimalizált bash. Ehhez a bash projektnek 0 köze van, nem is tudnak róla, nem is érinti semmilyen infrastruktúrájukat. Nem a bash projekt supply chain támadása.

Az AUR-t érinti egyedül, ahova mindenki azt tesz, amit akar. És pont ez az AUR problémája (ugyanúgy a hasonló kezdeményezésekhez), ez ellen semmi nem véd önmagában.

A srác is csak azon bukott meg, hogy túl átlátszóan kezdte el hirdetni a repot, egyből leesett az embereknek, hogy ez bizony átverés.

A Firefox projekt nem tud semmit tenni az ellen, ha a kódját így használják fel, csak azt, hogy bezárja a kódot. Eleve nem a Firefoxot támadták meg.

 

Ez az egész "támadás" az AUR/COPR/PPA és hasonló 3rd party felhasználói repositorykban lévő alapvető biztonsági problémára mutat csak rá, semmi más. Ez a biztonsági probléma meg eddig is tudott volt.

Igaza van, félreérthető. A hírt én is először úgy értelmeztem, hogy Mozilla tárolójában volt a hiba, holott nem erről van szó.

Egyébként a hír kapcsán az egész közösségi média leszerepelt megint, mai napig ontják a videókat, hogy jelenidőben kijelentve sérülékeny az Arch, az AUR, rettegjen mindenki a FF-tól, közben ebből semmi nem igaz, ez már rég nem hír, már az első órában kimoderálták.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Talán úgy, hogy: Egy béna malware terjesztő próbálkozásai AUR-ral

Semmiféle supply chain attackról nincs itt szó, csak egy wannabe vagy balfasz malware terjesztőről, aki próbálkozott, de nem jött be a mesterterve. Ennyi a történet, semmi más.

Az, hogy miért épp a Firefoxot nézte ki a terjesztő célpontnak? Mert a Firefox nyilván népszerű, így majd jó sokan letöltik a csomagját, jaj de jó lesz. Csak arra nem gondolt, hogy pont emiatt sokkal alaposabban átnézik majd a megfelelő emberek az AUR csomag leíróját. Pláne ha nagyon feltűnően elkezdi hirdetni.

Ha egy obskúrus, senki által nem használt csomagba rejtette volna el a malware-t, akkor sokkal kevésbé tűnik fel. Balfasz volt, és így járt.

( persicsb | 2025. 07. 21., h – 22:39 )

Szerkesztve: 2025. 07. 21., h – 22:42

Redditről:

Do not know whether a separate post is needed, but there are some more packages posted that are clearly malware.

Submitter: Quobleggo, account created today, with 4 packages, popularity 1 to 10.
- minecraft-cracked
- ttf-all-ms-fonts
- ttf-ms-fonts-all
- vesktop-bin-patched

 

Próbálkoznak sok csomaggal, hogy malware-t terjesszenek, hátha a balfasz user feltelepít olyat, hogy minecraft-cracked. Semmilyen supply chain attack nincs itt, a forrás repokat meg se támadták ("since it was not an existing package that was taken over, but rather a brand new malicious package created to cause problems").

Az lenne az igazi supply chain attack, ha beékelődtek volna valahogyan az eredeti forrás és a gyári csomag készítési folyamatába, és a gyári csomagba sikerülne malware-t elhelyezni. De szó nincs erről, balfasz próbálkozások ezek. Lehet, hogy generatív AI csinálja.