Sécuriser Arch, Manjaro et EndeavourOS : scanner son système contre les malwares AUR

l’Almanet doLys Gnu/Linux – Open Source – Entreprises Forums L’almanet doLys Open Source Sécuriser Arch, Manjaro et EndeavourOS : scanner son système contre les malwares AUR

  • This topic is empty.
Affichage de 1 message (sur 1 au total)
  • Auteur
    Articles
  • #13269
    nam1962nam1962
    Keymaster

      Le contexte : une campagne d’attaques a récemment ciblé les dépôts AUR via des paquets corrompus.
      Ces paquets tentent de déployer un infostealer et un rootkit eBPF vicieux, particulièrement difficiles à détecter à l’œil nu.

      Même si l’on est prudent avec ce qu’on installe depuis AUR, un contrôle périodique du système reste prudent, notamment après une installation ou une mise à jour de paquets AUR. Pour éviter de retaper les commandes à chaque vérification, on va cloner l’outil original, installer un petit lanceur compagnon, puis intégrer le tout proprement avec un lanceur XFCE.

      Au boulot !

      On va tout regrouper en utilisant une variable pour le dossier cible, et s’assurer de créer le répertoire git au cas où il n’existerait pas encore sur la machine.

      Installation et configuration

      Ouvrez un terminal et exécutez les blocs de commandes ci-dessous dans l’ordre. Chaque bloc correspond à une étape précise : préparation des dépôts, activation du helper, puis ajout du lanceur XFCE.

      Le scanner original reste celui de lenucksi. Le dépôt doLys ne le remplace pas : il fournit seulement un petit lanceur XFCE pour le lancer plus confortablement.

      1. Préparer le dossier et cloner les dépôts

      WORK_DIR="$HOME/git"
      
      mkdir -p "$WORK_DIR"
      cd "$WORK_DIR"
      
      if [ ! -d "$WORK_DIR/aur-malware-check/.git" ]; then
        git clone https://github.com/lenucksi/aur-malware-check.git
      else
        git -C "$WORK_DIR/aur-malware-check" pull
      fi
      
      if [ ! -d "$WORK_DIR/aur-malware-check-helper/.git" ]; then
        git clone https://codeberg.org/doLys/aur-malware-check-helper.git
      else
        git -C "$WORK_DIR/aur-malware-check-helper" pull
      fi

      2. Rendre le lanceur exécutable

      WORK_DIR="$HOME/git"
      
      chmod +x "$WORK_DIR/aur-malware-check-helper/run_aur_scan.sh"

      3. Ajouter le lanceur XFCE

      WORK_DIR="$HOME/git"
      
      mkdir -p "$HOME/.local/share/applications"
      
      cat << EOF > "$HOME/.local/share/applications/aur-malware-check.desktop"
      [Desktop Entry]
      Version=1.0
      Type=Application
      Name=AUR Malware Scan
      Comment=Vérification des paquets AUR corrompus
      Exec=env AUR_MALWARE_CHECK_REPO=$WORK_DIR/aur-malware-check $WORK_DIR/aur-malware-check-helper/run_aur_scan.sh
      Icon=security-high
      Terminal=true
      Categories=System;Security;Utility;
      EOF

      Le helper maintenu est disponible sur Codeberg :
      aur-malware-check-helper.

      Le scanner original reste celui de lenucksi :
      aur-malware-check.

      Utilisation

      Ouvrez votre menu d’applications (Whisker Menu), cherchez AUR Malware Scan et lancez-le.

      Le terminal va s’ouvrir, mettre à jour le scanner original avec git pull, lancer la commande actuelle du scanner, analyser vos paquets, vos journaux pacman et vos caches, puis donner le verdict final.

      Depuis la version Python du scanner, la commande lancée est :

      python -m aur_check --refresh --full

      Le helper nettoie ensuite les modifications locales de listes afin de ne pas laisser le dépôt original dans un état modifié.

      Si la dernière ligne indique RESULT: CLEAN – No indicators found., le système est propre selon les indicateurs actuellement connus. Vous n’avez plus qu’à appuyer sur Entrée pour fermer la fenêtre.

      Que faire en cas d’infection ?

      Si le script détecte des paquets douteux, le résultat s’affichera en rouge. Dans ce cas, il faut réagir vite et méthodiquement :

      • Ne redémarrez pas immédiatement : gardez votre système allumé si vous voulez conserver les traces en mémoire à des fins d’analyse.
      • Sécurisez vos accès : depuis une machine saine, changez immédiatement vos mots de passe sensibles et révoquez vos jetons d’accès : clés SSH, tokens GitHub, Discord, Slack, etc.
      • Investiguez : vérifiez s’il y a des services persistants suspects avec systemctl list-units --type=service --state=running et cherchez les traces du rootkit eBPF avec ls -la /sys/fs/bpf/hidden_*.
      • Cherchez de l’aide : postez les retours de vos commandes sur le forum de votre distribution, par exemple Arch, Manjaro ou EndeavourOS, pour vous faire accompagner par la communauté.
      • Nettoyez ou réinstallez : le malware incluant un rootkit profond, la solution la plus sûre peut être de nettoyer depuis un Live USB sain, voire de procéder à une réinstallation complète du système.

      Dépannage : erreur de mise à jour (git pull)

      Si le script s’interrompt immédiatement en affichant une erreur de git pull et mentionne que des modifications locales seraient écrasées, c’est souvent qu’une liste rafraîchie est restée modifiée dans le dépôt original.

      Pour remettre le dépôt dans un état propre, ouvrez un terminal et lancez :

      cd ~/git/aur-malware-check
      git restore -- package_list.txt data/lists/package_list.txt 2>/dev/null || true

      Vous pouvez ensuite relancer le scan depuis votre menu d’applications.

      Si vos dépôts ne sont pas dans ~/git

      Le helper utilise ~/git/aur-malware-check par défaut. Si vous rangez vos dépôts ailleurs, adaptez la variable WORK_DIR dans les blocs d’installation, ou lancez le helper avec la variable AUR_MALWARE_CHECK_REPO.

      Exemple :

      AUR_MALWARE_CHECK_REPO="$HOME/src/aur-malware-check" "$HOME/git/aur-malware-check-helper/run_aur_scan.sh"

      Un grand merci à lenucksi, l’auteur du scanner original, pour son travail de qualité sur la détection de cette campagne. Le dépôt officiel est disponible ici :
      aur-malware-check.

      Le dépôt doLys ne contient pas le moteur de détection. Il fournit uniquement un lanceur local/XFCE pour faciliter son usage :
      aur-malware-check-helper.

      Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc

    Affichage de 1 message (sur 1 au total)
    • Vous devez être connecté pour répondre à ce sujet.