Régóta velünk vannak, régóta használjuk őket, volt is már rosszindulatú szoftver bennük, de ez nem jelenti azt, hogy minden szép, minden jó és hátradőlhetünk, ellenkezőleg.
Biztos, hogy minden Arch user találkozott már az AUR (Arch User Repository) néven emlegetett szoftvercsomag tárolóval. Ide felhasználók (vagyis inkább: bárki) tölthet fel csomagokat, amelyek a hivatalos Arch tárolókban nem érhetők el. Ezek lehetnek teljesen stabil szoftverek és természetesen olyanok is, amelyekben kisebb-nagyobb hibák előfordulhatnak. Azt gondolom, hogy amikor valaki használatba veszi az AUR-t, akkor tisztában van a kockázatokkal (vagy, egy részükkel legalábbis).
Ezeket a csomagokat biztonsági szempontból senki nem ellenőrzi - nincs egyetlen mechanizmus sem, ami proaktív védelmet jelentene. Nagyjából az egyetlen lehetőség az, ha a felhasználó végigolvassa a PKGBUILD nevű állományt. Ez mondja meg az Arch-nak, hogyan kell felépíteni a csomagot.
Azt hiszem, alapvetően elvárható ugyan az Arch felhasználóitól, hogy értsék a file tartalmát, mégis az a véleményem, hogy ez kevés és túl sok biztonságot azért nem ad.
Azonban ez sem mindig segít, mint ahogy a megtörtént esetben sem. Három csomag az AUR-ban (mindegyik böngészőre utal: librewolf, firefox, zen) "patcheket" töltött le egy Github repository-ból - valójában mindegyik esetben a CHAOS nevű, távoli elérést biztosító trójait (RAT). A három csomag 2 napig volt elérhető, mielőtt az Arch karbantartói törölték a nevezett csomagokat az AUR-ból.
Az NPM indexe május végén 60 csomagot listázott, amelyek valamilyen formában információkat akartak kijuttatni az őket futtató környezetről, beleértve IP-címeket, hostneveket, DNS szerverek neveit, illetve egyebeket.
Ezen a mennyiségen felül 8 olyan csomagot is azonosítottak, amelyeknek adattörlés volt a céljuk.
Az NPM egy teljesen hasonló gyűjtemény, mint a fentebb írt AUR, de annyi különbség van, hogy publikálás előtt egy audit scriptet meg kell futtatni az ide feltöltött javascripteken. Hátránya ennek az audit eszköznek, hogy csak a már ismert fenyegetéseket ismeri fel, az újakat, illetve az obfuszkáltakat nem.
Hogy ne legyek megvádolható elfogultsággal, megemlítem a Python mögötti közösségi tárolót is. Első kézből származó információk alapján tudom kijelenteni, hogy itt is bőven voltak, vannak és lesznek is rosszindulatú csomagok, amíg a közgondolkodás nem változik meg. Az igen népszerű beautifulsoup csomagból tucatnyi megtévesztő nevűt gyártottak, hátha valaki elgépeli a csomag nevét (forrás: snyk.io).
Tudom, nehéz ügy. Nyilván az adott rendszert készítő, esetleg fizetett alkalmazottakat nem a közösségek csomagjainak vizsgálatáért fizetik, azonban úgy vélem, a helyzet önmagától nem fog javulni, sőt, előbb-utóbb eljutunk oda, hogy semmilyen bizalom nem lesz az ilyen tárolók mellett. Mindenképpen szükséges lesz valamilyen biztonsági folyamat bevezetése, mert az ilyen közösségi tárolókat nem csak otthoni felhasználók veszik igénybe, hanem professzionális szervezetek, cégek is. Ők azonban nem csak felhasználói, hanem szponzorai is ezeknek a helyeknek és ha ez a szponzoráció megszűnik, igen gyorsan kétségessé válik a létezésük is.
CoreSec
2025.07.27.