Une vague de paquets malveillants a inondé l’AUR, le dépôt de paquets communautaire d’Arch Linux. Le temps de l’opération de nettoyage, Arch Linux a décidé de suspendre la création de nouveaux comptes sur l’AUR. Voici ce que l’on sait.
Si vous avez tenté d’ouvrir un compte sur l’AUR (Arch User Repository) ces derniers jours, vous avez probablement été accueilli par un message d’erreur indiquant un 503 Service Unavailable sur la page d’inscription. Ce blocage est une me temporaire prise par l’équipe d’Arch Linux en réponse à un incident de sécurité touchant l’AUR, dont l’ampleur a considérablement augmenté avec le temps.
Initialement, environ 400 paquets avaient été identifiés comme affectés par la cyberattaque sur l’AUR. Cependant, ce chiffre a rapidement grimpé à au moins 1 500 paquets malveillants publiés sur l’AUR.
Un nettoyage est en cours pour identifier et supprimer tous les paquets malveillants. L’AUR est un dépôt très actif, comme en témoignent les chiffres suivants :
- Plus de 141 000 utilisateurs enregistrés,
- Plus de 107 000 paquets,
- Au moins 270 paquets ajoutés au cours des 7 derniers jours, avec plus de 5 500 paquets mis à jour sur la même période.
Ces données soulignent l’importance de l’AUR pour la communauté Arch Linux.
Le problème des paquets orphelins
Un autre aspect préoccupant est le nombre de paquets orphelins, qui dépasse les 13 000 (abandonnés par leur auteur d’origine). Pour éviter que ces paquets ne soient laissés à l’abandon, l’AUR permet à de nouveaux mainteneurs de les reprendre. Malheureusement, ce système a été exploité par des attaquants pour introduire des mises à jour malveillantes.
Au fur et à me des vérifications, de nouveaux paquets infectés continuent d’être découverts, rendant le processus de nettoyage long et complexe.
Il est recommandé aux utilisateurs de vérifier les fichiers PKGBUILD et les scripts d’installation avant d’installer ou de mettre à jour un paquet de l’AUR, car c’est par ces moyens que les malwares sont diffusés. Des signes d’alerte incluent un changement récent de mainteneur ou une mise à jour inattendue d’un paquet peu maintenu.
Suite à cet incident, l’avenir de l’AUR pourrait nécessiter des changements structurels pour éviter de telles situations à l’avenir. Les équipes d’Arch Linux envisagent des moyens de renforcer la sécurité, notamment en ce qui concerne la gestion des paquets orphelins.
Pour l’instant, l’AUR reste en ligne et les paquets sont accessibles, bien que la création de nouveaux comptes soit suspendue.
Source : IT-Connect
