Użytkownicy Arch Linux wzywani do natychmiastowej reakcji. Trojan w przeglądarkach Firefox

W ciągu ostatnich dni wykryto poważne zagrożenie dla użytkowników systemu Arch Linux. Jeśli ktoś zainstalował przeglądarkę Firefox, LibreWolf lub Zen z repozytorium AUR po 16 lipca, powinien natychmiast je usunąć i ponownie zainstalować czyste wersje.

Zgodnie z ostrzeżeniem wydanym przez opiekunów Arch Linux, pakiety zawierały złośliwe oprogramowanie typu RAT, czyli trojana zdalnego dostępu. Dotknięte zostały zmodyfikowane wersje pakietów o nazwach: firefox-patch-bin, librewolf-fix-bin oraz zen-browser-patched-bin.

Pakiety zostały dodane do AUR 16 lipca i usunięto je w ciągu dwóch dni od wykrycia zagrożenia. Mimo szybkiej reakcji społeczności, dla użytkowników, którzy zdążyli zainstalować jedną z tych wersji, rekomendowanym działaniem pozostaje pełne usunięcie przeglądarki, restart systemu oraz przeprowadzenie audytu bezpieczeństwa. W wielu przypadkach jedynym realnym zabezpieczeniem będzie wykonanie kopii zapasowej danych, sformatowanie systemu i jego ponowna instalacja.

Arch: system dla zaawansowanych, ale nie zawsze bezpieczny

Arch Linux to dystrybucja ciesząca się szczególnym uznaniem wśród entuzjastów Linuxa, którzy cenią sobie pełną kontrolę nad systemem. Charakteryzuje się on minimalistycznym instalatorem i brakiem graficznych nakładek, co sprawia, że jego konfiguracja wymaga doświadczenia i wiedzy. Ten model przyciąga technicznie zaawansowanych użytkowników, ale również wiąże się z ryzykiem – szczególnie w przypadku korzystania z AUR, czyli Arch User Repository.

AUR to repozytorium prowadzone i utrzymywane przez społeczność, niezależne od głównych repozytoriów Arch (takich jak core czy extra). Pozwala ono użytkownikom na łatwe udostępnianie własnych pakietów i skryptów instalacyjnych. Chociaż jego otwartość umożliwia szybki dostęp do niemal każdej aplikacji, jednocześnie pozostaje podatne na nadużycia.

System elastyczny, ale z kompromisami

Model działania AUR sprawia, że użytkownik uzyskuje niemal nieograniczony dostęp do szerokiej gamy oprogramowania. Wystarczy dodać odpowiednie repozytorium i zmienić polecenie instalacyjne. Jednak źródła te nie są objęte rygorystyczną kontrolą bezpieczeństwa. W rezultacie, jak pokazuje ostatni incydent, nawet powszechnie znane przeglądarki mogą zostać zainfekowane, jeśli pochodzą z niezaufanego źródła.

To nie pierwszy przypadek, gdy do AUR trafiło złośliwe oprogramowanie. Już w 2018 roku społeczność Arch alarmowała o podobnych incydentach, a obecna sytuacja pokazuje, że problem nadal nie został rozwiązany. W międzyczasie liczba użytkowników Archa znacząco wzrosła, między innymi dzięki popularności Steam Decka od Valve, który działa na systemie opartym na Arch Linux. Choć Arch nie należy do najbardziej rozpoznawalnych marek na rynku systemów operacyjnych, według danych ze Steam korzysta z niego więcej graczy niż z Ubuntu.

Nie tylko Arch ma problem

Podobne zagrożenia występowały także w innych ekosystemach Linuxa. Canonical musiał usuwać złośliwe pakiety ze Snap Store, a Flathub również nie jest wolny od nieoficjalnych aplikacji, które mogą sprawiać problemy. W Google Play także wielokrotnie wykrywano malware, co pokazuje, że zagrożenia nie są ograniczone do niszowych rozwiązań. Każda otwarta platforma, która dopuszcza wkład społecznościowy bez pełnej weryfikacji kodu, naraża się na podobne ryzyko.

Równowaga między dostępnością a bezpieczeństwem jest trudna do utrzymania. Z jednej strony użytkownicy chcą mieć natychmiastowy dostęp do nowych i rzadkich narzędzi. Z drugiej – każdy brak nadzoru może prowadzić do przejęcia systemu. Projekt Arch nie ponosi bezpośredniej odpowiedzialności za zawartość AUR. To narzędzie stworzone przez społeczność i dla społeczności, z założeniem, że użytkownik podejmuje świadome decyzje, instalując pakiety z tego źródła.