Logo
BLOGarch-linux-aur-angriff
Veröffentlicht: 2025-08-18

Arch Linux im Visier: Wie der AUR zum Angriffsziel wurde

In der Welt der Linux-Distributionen ist Arch Linux bekannt für seine Flexibilität und die Möglichkeit, Systeme von Grund auf nach den eigenen Wünschen aufzubauen. Ein zentraler Bestandteil dieser Philosophie ist das Arch User Repository (AUR), eine riesige Sammlung von Paketen, die von der Community gepflegt wird. Doch genau diese Offenheit wurde kürzlich von Angreifern ausgenutzt, um bösartige Software zu verbreiten. Dieses Sicherheitsrisiko wirft ein Schlaglicht auf ein grundlegendes Problem, das nicht nur Arch Linux betrifft, sondern auch andere populäre Paketmanager wie npm für JavaScript oder pip für Python: die Herausforderung, Vertrauen in eine Open-Source-Umgebung zu schaffen, in der jeder Code beitragen kann.

KategorieSicherheit
Betroffene SystemeArch Linux, AUR
MalwareChaos Rat
Zurück zum Blog

Was ist im AUR passiert?

Das AUR unterscheidet sich grundlegend von offiziellen Paket-Repositories wie apt (Debian). Während apt auf eine kontrollierte Liste vorab kompilierter, geprüfter Binärdateien setzt, ist das AUR ein Quellcode-Repository. Das bedeutet, dass die Benutzer die Pakete selbst aus dem Quellcode kompilieren. Der PKGBUILD-Skript, der diesen Prozess steuert, könnte im Hintergrund jedoch alles tun – einschließlich des Herunterladens und Ausführens von bösartigem Code.

  • Angreifer nutzten Typo-Squatting, um Nutzer zu täuschen.
  • Pakete wie `Librewolf-fix-bin` und `Firefox-patch-bin` wurden hochgeladen.
  • Ein Tippfehler bei der Eingabe konnte zur Installation der Malware führen.

Wie die Malware funktioniert

Diese Pakete waren keine harmlosen Fehler. Sie enthielten einen Remote Access Trojan (RAT) namens Chaos Rat. Diese Open-Source-Malware, die auf der Programmiersprache Go basiert, ermöglichte den Angreifern, die Kontrolle über die Systeme der Opfer zu übernehmen.

  • Die Malware ist ein Open-Source Remote Access Trojan (RAT).
  • Sie ermöglicht die Herstellung einer Reverse Shell und das Hoch- und Herunterladen von Dateien.
  • Die Angreifer versuchten, ihre Accounts mit Reddit-Beiträgen legitimer wirken zu lassen.
  • Einmal installiert, wird die Malware nicht automatisch entfernt, wenn das Paket aus dem AUR gelöscht wird.

So schützen Sie sich

Dieser Vorfall ist eine wichtige Erinnerung daran, dass es keine hundertprozentige Sicherheit gibt, aber es gibt Maßnahmen, die Sie ergreifen können, um sich besser zu schützen.

  • Überprüfen Sie Pakete, indem Sie den PKGBUILD-Code lesen.
  • Seien Sie skeptisch bei neuen oder verdächtigen Paketen.
  • Nutzen Sie Multifaktor-Authentifizierung (MFA) für Ihre Online-Konten.
  • Entfernen Sie bösartige Pakete manuell von Ihrem System, falls Sie sie installiert haben.

Quellen

Jetzt durchstarten

Gemeinsam zum Erfolg – Ihr Partner für innovative Lösungen

Ihr Erfolg steht für uns an erster Stelle. Kontaktieren Sie uns und entdecken Sie maßgeschneiderte Lösungen, die wirklich weiterbringen.

unverbindlich Kontaktieren
Let’s Start Illustration
Company Logo
LinkedInX.com

Unsere Leistungen

Alle Leistungen

Industrien

Alle Industrien

Über Uns

Zertifizierungen

Karriere

Blog

Kontakt

Copyright © 2025 OTOKO Media GmbH - Alle Rechte vorbehalten.

AGBDatenschutzImpressum