Alerte rouge sur l'AUR : 400 paquets Arch Linux infectés ! (UPDATE : 900)
Introduction : En effet, l’alerte a été donnée : plus de 400 paquets sur l’AUR ont été compromis. Merci à MrSlayers pour ce lien dans le sujet sécurité du Discord : https://discourse.ifin.network/t/400-aur-packages-compromised-with-infostealer-and-rootkit/577 Concrètement, qu’est ce qui s’est-il passé ? Les attaquants ont utilisé deux techniques bien connues dans les attaques de la “supply chain” :
- Le typosquatting : Ils créent des paquets avec des noms presque identiques à des logiciels très populaires (par exemple, firfox vs firefox), espérant qu’un utilisateur fasse une faute de frappe en tapant sa commande d’installation.
- La récupération de paquets orphelins : Sur l’AUR, un paquet peut être abandonné par son mainteneur d’origine. N’importe qui peut alors en revendiquer la maintenance. Les attaquants ont simplement récupéré des paquets sains mais abandonnés, puis ont poussé une mise à jour malveillante.