Sécuriser Arch, Manjaro et EndeavourOS : scanner son système contre les malwares AUR

[nam1962]

Le contexte : une campagne d’attaques a récemment ciblé les dépôts AUR via des paquets corrompus.
Ces paquets tentent de déployer un infostealer et un rootkit eBPF vicieux, particulièrement difficiles à détecter à l’œil nu.

Même si l’on est prudent avec ce qu’on installe depuis AUR, un contrôle régulier du système s’impose. Pour éviter de taper des commandes à chaque vérification, on va cloner un script dédié, l’automatiser, et intégrer le tout proprement avec un lanceur XFCE.

Au boulot !
On va tout regrouper en utilisant une variable pour le dossier cible, et s’assurer de créer le répertoire git au cas où il n’existerait pas encore sur la machine.

Installation et configuration

Ouvrez un terminal et copiez-collez ce bloc entier. Il se charge de tout : création du dossier, clonage du dépôt, génération du script de mise à jour et création du raccourci dans votre menu.

# On définit le dossier de travail
WORK_DIR="$HOME/git"

# 1. Création du dossier (s'il n'existe pas) et clonage
mkdir -p "$WORK_DIR"
cd "$WORK_DIR"
git clone https://github.com/lenucksi/aur-malware-check.git

# 2. Création du script de lancement automatisé
cat << EOF > "$WORK_DIR/aur-malware-check/run_aur_scan.sh"
#!/bin/bash
cd "$WORK_DIR/aur-malware-check" || exit
echo -e "\033[1;34m=== Mise à jour de l'outil ===\033[0m"
git pull
echo -e "\n\033[1;34m=== Lancement de l'analyse ===\033[0m"
./aur_check-v2.sh --refresh --full
echo -e "\n\033[1;32mAppuyez sur Entrée pour fermer cette fenêtre...\033[0m"
read
EOF

# On rend le script exécutable
chmod +x "$WORK_DIR/aur-malware-check/run_aur_scan.sh"

# 3. Création du lanceur XFCE
mkdir -p ~/.local/share/applications/
cat << EOF > ~/.local/share/applications/aur-malware-check.desktop
[Desktop Entry]
Version=1.0
Type=Application
Name=AUR Malware Scan
Comment=Vérification des paquets AUR corrompus
Exec=$WORK_DIR/aur-malware-check/run_aur_scan.sh
Icon=security-high
Terminal=true
Categories=System;Security;Utility;
EOF

Utilisation

Ouvrez votre menu d’applications (Whisker Menu), cherchez AUR Malware Scan et lancez-le.

Le terminal va s’ouvrir, mettre à jour l’outil sur le dépôt officiel, analyser vos paquets, vos journaux pacman et vos caches, puis donner le verdict final.

Si la dernière ligne indique « CLEAN », le système est propre. Vous n’avez plus qu’à appuyer sur Entrée pour fermer la fenêtre.

Que faire en cas d’infection ?

Si le script détecte des paquets douteux, le résultat s’affichera en rouge. Dans ce cas, il faut réagir vite et méthodiquement :

• Ne redémarrez pas : gardez votre système allumé pour conserver les traces en mémoire à des fins d’analyse.
• Sécurisez vos accès : depuis une machine saine, changez immédiatement tous vos mots de passe et révoquez vos jetons d’accès (clés SSH, tokens GitHub, Discord, Slack, etc.).
• Investiguez : vérifiez s’il y a des services persistants suspects avec systemctl list-units --type=service --state=running et cherchez les traces du rootkit eBPF avec ls -la /sys/fs/bpf/hidden_*.
• Cherchez de l’aide : allez poster les retours de vos commandes sur le forum de votre distribution (Arch, Manjaro, EndeavourOS) pour vous faire accompagner par la communauté.
• Nettoyez ou réinstallez : le malware incluant un rootkit profond, la solution la plus pérenne et la plus sûre reste de nettoyer depuis un Live USB sain, voire de procéder à une réinstallation complète du système.

---

Un grand merci à lenucksi, l’auteur du script original, pour son travail de qualité sur la détection de cette faille. Vous pouvez retrouver son dépôt officiel ici.

Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc

[Auteur]

Articles