l’Almanet doLys Gnu/Linux – Open Source – Entreprises › Forums › L’almanet doLys Open Source › Sécuriser Arch, Manjaro et EndeavourOS : scanner son système contre les malwares AUR
- This topic is empty.
- AuteurArticles
- juin 16, 2026 à 9:58 am #13269
Le contexte : une campagne d’attaques a récemment ciblé les dépôts AUR via des paquets corrompus.
Ces paquets tentent de déployer un infostealer et un rootkit eBPF vicieux, particulièrement difficiles à détecter à l’œil nu.Même si l’on est prudent avec ce qu’on installe depuis AUR, un contrôle périodique du système reste prudent, notamment après une installation ou une mise à jour de paquets AUR. Pour éviter de retaper les commandes à chaque vérification, on va cloner l’outil original, installer un petit lanceur compagnon, puis intégrer le tout proprement avec un lanceur XFCE.
Au boulot !
On va tout regrouper en utilisant une variable pour le dossier cible, et s’assurer de créer le répertoire
gitau cas où il n’existerait pas encore sur la machine.Installation et configuration
Ouvrez un terminal et exécutez les blocs de commandes ci-dessous dans l’ordre. Chaque bloc correspond à une étape précise : préparation des dépôts, activation du helper, puis ajout du lanceur XFCE.
Le scanner original reste celui de lenucksi. Le dépôt doLys ne le remplace pas : il fournit seulement un petit lanceur XFCE pour le lancer plus confortablement.
1. Préparer le dossier et cloner les dépôts
WORK_DIR="$HOME/git" mkdir -p "$WORK_DIR" cd "$WORK_DIR" if [ ! -d "$WORK_DIR/aur-malware-check/.git" ]; then git clone https://github.com/lenucksi/aur-malware-check.git else git -C "$WORK_DIR/aur-malware-check" pull fi if [ ! -d "$WORK_DIR/aur-malware-check-helper/.git" ]; then git clone https://codeberg.org/doLys/aur-malware-check-helper.git else git -C "$WORK_DIR/aur-malware-check-helper" pull fi2. Rendre le lanceur exécutable
WORK_DIR="$HOME/git" chmod +x "$WORK_DIR/aur-malware-check-helper/run_aur_scan.sh"3. Ajouter le lanceur XFCE
WORK_DIR="$HOME/git" mkdir -p "$HOME/.local/share/applications" cat << EOF > "$HOME/.local/share/applications/aur-malware-check.desktop" [Desktop Entry] Version=1.0 Type=Application Name=AUR Malware Scan Comment=Vérification des paquets AUR corrompus Exec=env AUR_MALWARE_CHECK_REPO=$WORK_DIR/aur-malware-check $WORK_DIR/aur-malware-check-helper/run_aur_scan.sh Icon=security-high Terminal=true Categories=System;Security;Utility; EOFLe helper maintenu est disponible sur Codeberg :
aur-malware-check-helper.Le scanner original reste celui de lenucksi :
aur-malware-check.Utilisation
Ouvrez votre menu d’applications (Whisker Menu), cherchez AUR Malware Scan et lancez-le.
Le terminal va s’ouvrir, mettre à jour le scanner original avec
git pull, lancer la commande actuelle du scanner, analyser vos paquets, vos journaux pacman et vos caches, puis donner le verdict final.Depuis la version Python du scanner, la commande lancée est :
python -m aur_check --refresh --fullLe helper nettoie ensuite les modifications locales de listes afin de ne pas laisser le dépôt original dans un état modifié.
Si la dernière ligne indique RESULT: CLEAN – No indicators found., le système est propre selon les indicateurs actuellement connus. Vous n’avez plus qu’à appuyer sur Entrée pour fermer la fenêtre.
Que faire en cas d’infection ?
Si le script détecte des paquets douteux, le résultat s’affichera en rouge. Dans ce cas, il faut réagir vite et méthodiquement :
- Ne redémarrez pas immédiatement : gardez votre système allumé si vous voulez conserver les traces en mémoire à des fins d’analyse.
- Sécurisez vos accès : depuis une machine saine, changez immédiatement vos mots de passe sensibles et révoquez vos jetons d’accès : clés SSH, tokens GitHub, Discord, Slack, etc.
- Investiguez : vérifiez s’il y a des services persistants suspects avec
systemctl list-units --type=service --state=runninget cherchez les traces du rootkit eBPF avecls -la /sys/fs/bpf/hidden_*. - Cherchez de l’aide : postez les retours de vos commandes sur le forum de votre distribution, par exemple Arch, Manjaro ou EndeavourOS, pour vous faire accompagner par la communauté.
- Nettoyez ou réinstallez : le malware incluant un rootkit profond, la solution la plus sûre peut être de nettoyer depuis un Live USB sain, voire de procéder à une réinstallation complète du système.
Dépannage : erreur de mise à jour (
git pull)Si le script s’interrompt immédiatement en affichant une erreur de
git pullet mentionne que des modifications locales seraient écrasées, c’est souvent qu’une liste rafraîchie est restée modifiée dans le dépôt original.Pour remettre le dépôt dans un état propre, ouvrez un terminal et lancez :
cd ~/git/aur-malware-check git restore -- package_list.txt data/lists/package_list.txt 2>/dev/null || trueVous pouvez ensuite relancer le scan depuis votre menu d’applications.
Si vos dépôts ne sont pas dans
~/gitLe helper utilise
~/git/aur-malware-checkpar défaut. Si vous rangez vos dépôts ailleurs, adaptez la variableWORK_DIRdans les blocs d’installation, ou lancez le helper avec la variableAUR_MALWARE_CHECK_REPO.Exemple :
AUR_MALWARE_CHECK_REPO="$HOME/src/aur-malware-check" "$HOME/git/aur-malware-check-helper/run_aur_scan.sh"Un grand merci à lenucksi, l’auteur du scanner original, pour son travail de qualité sur la détection de cette campagne. Le dépôt officiel est disponible ici :
aur-malware-check.Le dépôt doLys ne contient pas le moteur de détection. Il fournit uniquement un lanceur local/XFCE pour faciliter son usage :
aur-malware-check-helper.Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
- AuteurArticles
- Vous devez être connecté pour répondre à ce sujet.