[AIDE] A propos des malwares dans AUR

[mozzi]

Bonjour

Suite article de ce jour dans distrowatch.com
Two weeks ago we shared news that multiple packages in the Arch User Repository, an optional community add-on repository for Arch Linux, had been been found to contain three packages containing malware. This week another attacker tried to compromise users' machines using a modified Google Chrome package. Linuxiac reports: "It's pretty shocking that this time around, the situation is almost exactly the same - a package called google-chrome-stable doesn't just install Google's browser, but also runs a RAT [remote access trojan] on your system. That kind of malware can potentially give attackers control over the infected machine, letting them steal data, install more malicious software, or spy on users." The offending package has since been removed. This is an important reminder that while the AUR is popular, it is also not monitored or verified by the Arch Linux team.
TRADUCTION
Il y a deux semaines, nous annoncions la découverte de trois paquets malveillants dans l'Arch User Repository, un dépôt communautaire optionnel de modules complémentaires pour Arch Linux. Cette semaine, un autre attaquant a tenté de compromettre les machines des utilisateurs à l'aide d'un paquet Google Chrome modifié. Linuxiac rapporte : « Il est assez choquant de constater que cette fois-ci, la situation est quasiment identique : un paquet appelé google-chrome-stable installe non seulement le navigateur de Google, mais exécute également un cheval de Troie d'accès à distance (RAT) sur votre système. Ce type de malware peut potentiellement donner aux attaquants le contrôle de la machine infectée, leur permettant ainsi de voler des données, d'installer d'autres logiciels malveillants ou d'espionner les utilisateurs.» Le paquet incriminé a depuis été supprimé. Ceci rappelle que, bien que l'AUR soit populaire, il n'est ni surveillé ni vérifié par l'équipe Arch Linux.

Je vous propose de faire des verificatons regulieres avec
Kaspersky Virus Removal Tool 24.0.5.0 (04.08.2025)

Il y a des mises a jour regulieres et c'est gratuit.Apres avoir telechargé le soft ne pas oublier de le rendre executable.
Cela ne dispense pas de la vigilance de chacun

[albireo]

Kaspersky n'a aucun lien avec la russie ? je suis très (trop) mefiant

[benjarobin]

Kaspersky n'est plus vraiment autorisé pour au moins certaines entreprises (par exemple travaillant avec la défense, même si nous ne travaillons pas sur des projets secret défenses) à cause des liens avec la Russie.
Avant notre entreprise utilisait Kaspersky. Ce n'est plus le cas.

Le mieux étant d'avoir un esprit critique sur ce qui est installé, et de faire une passe rapide sur le PKGBUILD.
Car comment tu fais pour vérifier que le PKGBUILD ne contient rien de malicieux ? Pour rappel quand tu lances la construction d'un paquet (par défaut) c'est fait avec ton utilisateur courant, donc le script PKGBUILD peut très bien chiffrer toutes tes données, ou récupérer tes mots de passe dans Firefox (si aucun mot de passe) ! Dans ce cas, jamais un antivirus ne trouvera quelque chose à redire au script bash.
Et si tu lances l'analyse après avoir installé le paquet, c'est très souvent trop tard. Lors de l'installation, une commande peut être lancée en root, et à partir de là les dégâts peuvent être très important. Donc si tu veux être protégé, il faut une protection active, mais cela rend le système très lent, car chaque fichier qui est lu ou écrit est analysé par l'antivirus.