Arch Linux давно зарекомендовал себя как одна из самых гибких и контролируемых дистрибутивов Linux, ориентированная на опытных пользователей, которые ценят свободу настройки и возможность управлять каждой деталью своих систем. Репозиторий Arch User Repository (AUR), созданный сообществом для распространения пакетов, отсутствующих в официальных репозиториях, предоставляет пользователям большие возможности для расширения функционала ОС. Однако именно этот репозиторий стал поводом для серьезной угрозы безопасности — были обнаружены пакеты, содержащие вредоносное ПО Chaos RAT, которое смогло внедриться в множество систем пользователей Arch Linux. Случаи подобного рода напоминают о важности повышенного внимания и мер предосторожности при работе с AUR, а также побуждают к рассмотрению механизмов безопасности в риске использования подобных сообществ. Недавно Arch Linux официально удалил из AUR три пакета, которые были использованы злоумышленниками для установки удаленного доступа через троян (RAT) Chaos.
Эти пакеты под названиями librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin были загружены одним и тем же пользователем danikpapas. При этом автор публиковал вредоносные PKGBUILD-файлы, которые содержали инструкции для загрузки небезопасного кода с удаленного GitHub-репозитория. Полученный код активировался во время сборки или установки программ, тем самым незаметно проникая в системы пользователей под видом патчей для браузеров. История инцидента началась 16 июля 2025 года, когда первые из этих пакетов были выложены в AUR. Злоумышленник использовал поддельную активность аккаунта Reddit для продвижения своих вредоносных разработок, что помогло им привлечь внимание пользователей и побудить к установке зараженных пакетов.
Сообщество Arch Linux быстро отреагировало, и спустя два дня пакеты были полностью удалены из репозитория, а ссылки на вредоносный GitHub-репозиторий стали недоступны. Chaos RAT — это открытый и многофункциональный remote access trojan, который изначально разрабатывался как инструмент для удаленного управления компьютерами с операционными системами Windows и Linux. Вредоносное ПО способно выполнять крайне широкий спектр действий: от загрузки и выгрузки файлов, выполнения команд в системе, до создания обратной оболочки (reverse shell) для полного контроля над заражённым устройством. Злоумышленники могут использовать подобные инструменты для проведения кражи персональных данных, мониторинга активности пользователей, организации майнинга криптовалют без ведома владельца, а также кибершпионажа. Одной из ключевых особенностей RAT является его способность регулярно устанавливать соединение с командным сервером управления (C2), ожидая новых инструкций.
В описанном случае сервер команд и управления располагался по адресу 130.162.225.47 на порту 8080. Это позволило злоумышленникам получать удалённый доступ к системам, заражённым через вредоносные пакеты в AUR, без непосредственного вмешательства пользователя после установки.
Инциденты с заражением распространяющимся через AUR ПО наглядно демонстрируют недостатки существующего процесса принятия пакетов в пользовательский репозиторий Arch Linux. Поскольку AUR не осуществляет формального предварительного обзора загружаемых сборок и полностью полагается на сообщество пользователей в вопросах безопасности, каждый юзер обязан самостоятельно анализировать содержимое PKGBUILD и подключаемых патчей. Недопустимо доверять безоговорочно кодам от неизвестных злоумышленников, даже если они выглядят, как обновления или улучшения популярных приложений. Опасность подобных атак состоит в том, что злоумышленники могут замаскировать вредоносный код под полезные функции, что значительно увеличивает шанс установки и распространения трояна. Автоматизация сборки пакетов Arch Linux добавляет удобства, но в то же время может способствовать незаметной загрузке вредоносных скриптов, если пользователь не уделяет должного внимания проверке исходных материалов.
Для защиты систем от подобных угроз рекомендуется применять проверенные методы безопасности. Во-первых, всегда необходимо тщательно читать и проверять PKGBUILD и связанные скрипты перед установкой. Инструменты и практики аудита кода позволяют выявить подозрительные ссылки на внешние ресурсы или подозрительные команды, которые могут указывать на вредоносные действия. Во-вторых, стоит использовать sandbox-среды или отдельные тестовые виртуальные машины при инсталляции непроверенных пакетов, что минимизирует риски инфицирования основной системы. Если есть подозрение, что система была скомпрометирована через указанные пакеты, необходимо проверить наличие процесса с именем systemd-initd, который часто запускается из временной папки /tmp.
Если такой процесс обнаружен, его рекомендуется немедленно завершить и удалить связанный файл. Далее нужно выполнить полное исследование системы с помощью антивирусного ПО, которое поддерживает обнаружение Linux-вредоносов, а также восстановить конфигурации безопасности и, при необходимости, переустановить операционную систему. Важно помнить, что регулярное обновление системы и установленных пакетов из официальных репозиториев значительно снижает риски заражения. Пользователи Arch Linux часто пренебрегают обновлением системы, что сам по себе является серьезным фактором уязвимости. Кроме того, использование ключей и сертификатов для проверки пакетов и активное участие в сообществах помогают вовремя получать информацию о потенциальных угрозах и нововведениях в процедуре безопасности.
Инцидент с CHAOS RAT в Arch Linux напоминает о необходимости тщательной проверки всех пользовательских репозиториев и повышенной ответственности пользователей при работе с программным обеспечением с открытым исходным кодом. Несмотря на удобство и гибкость, открытые репозитории требуют высокого уровня цифровой грамотности и осторожности. Сообщество Arch Linux, в свою очередь, постоянно работает над улучшением инструментов мониторинга и реагирования на угрозы, однако ключевой фактор безопасности остается ответственность каждого пользователя. В будущем, возможно, будут внедрены более строгие процессы премодерации пакетов, а также новые автоматизированные системы анализа построения и установки AUR-пакетов. Тем временем любому пользователю рекомендуется воздерживаться от слепой установки непроверенных и подозрительных пакетов и соблюдать лучшие практики безопасности.
