Разработчики Arch Linux обнаружили три вредоносных пакета в репозитории Arch User Repository (AUR). Пакеты использовались для установки трояна удаленного доступа (RAT) Chaos на Linux-устройства.
Пакеты назывались librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin, и были загружены пользователем danikpapas 16 июля 2025 года. Пакеты удалили из репозитория через два дня, после того, как сообщество отметило их как вредоносные.
«16 июля в AUR был загружен вредоносный пакет, — предупреждают сопровождающие AUR. — Еще два вредоносных пакета были загружены тем же пользователем несколькими часами позже. Эти пакеты выполняли скрипт из репозитория на GitHub, который был идентифицирован как троян удаленного доступа (RAT)».
Как и во многих других репозиториях пакетов, в AUR нет формальной процедуры проверки новых или обновленных пакетов. То есть пользователям следует самостоятельно проверять код и скрипты установки перед сборкой и установкой пакета.
Хотя сейчас пакеты уже удалены, издание Bleeping Computer изучило их архивные копии. В файле PKGBUILD всех пакетов содержалась запись source с названием patches, которая указывала на репозиторий GitHub, находящийся под контролем злоумышленника: https://github.com/danikpapas/zenbrowser-patch[.]git.
При обработке PKGBUILD этот репозиторий клонируется и рассматривается как часть процесса обновления и сборки пакета. Однако вместо патча репозиторий на GitHub содержал вредоносный код, который выполнялся на этапе сборки или установки. Сейчас этот репозиторий удален с GitHub, и .git больше не доступен для анализа.
Также издание отмечает, что малварь пытались продвинуть на Reddit с помощью ответов на различные темы, связанные с Arch Linux (в сообщениях продвигались вредоносные пакеты в AUR). Комментарии публиковались от лица аккаунта, который был неактивен в течение многих лет и, вероятно, был скомпрометирован и использован для «рекламы» малвари.
Пользователи Arch на Reddit сразу сочли комментарии подозрительными, загрузили один из компонентов на VirusTotal и обнаружили в нем Chaos RAT.
Chaos RAT представляет собой опенсорсный троян удаленного доступа для Windows и Linux. Он может использоваться для загрузки и скачивания файлов, выполнения команд и открытия ревер-шелла. В итоге злоумышленники получают полный доступ к зараженному устройству.
Этот троян часто применяется в кампаниях по распространению криптовалютных майнеров, а также для сбора учетных данных, кражи информации или шпионажа.
В данном случае после установки малварь неоднократно подключалась к управляющему серверу 130.162[.]225[.]47:8080, ожидая команд.
«Мы настоятельно рекомендуем пользователям, которые могли установить один из этих пакетов, удалить их из своей системы и принять необходимые меры, чтобы убедиться, что они не были скомпрометированы», — предупреждает команда Arch Linux.
В частности, рекомендуется немедленно проверить наличие подозрительного исполняемого файла systemd-initd, который может находиться в папке /tmp. Если файл обнаружен, его следует удалить.