他们发现可以通过过期域名将恶意包引入 AUR

他们最近通过一篇博文让人们知道 实验结果 在其中 展示如何控制 存储库中的包 AUR。

对于那些不知道 AUR（Arch User Repository）的人，他们应该知道这是 Arch Linux 的软件存储库。 它与官方的 Arch Linux 存储库不同，因为在这个存储库中，它的软件包由其用户提供，而 Arch Linux 并不正式支持它们。

AUR 被第三方开发者使用 分发您的包而不包含在主要的 Arch Linux 分发存储库中。

在这, 由于缺乏支持而进行了调查, 这更像是一个特性而不是一个错误，因为 允许 AUR 包含难以支持的包 （例如由于许可问题）或仅由少数用户使用。

然而，缺乏支持也意味着质量控制较少，允许不良行为者引入恶意包。 为了警告用户这种风险，AUR 在主页上有一个巨大的免责声明（许多人忽略或根本不知道的传说）：

免责声明：AUR 包是用户制作的内容。 对所提供文件的任何使用均由您自担风险。

关于进行的实验， 研究人员准备了一个检查域名注册到期的脚本 出现在 PKGBUILD 和 SRCINFO 文件中。 运行此脚本可识别 14 个文件上传包中使用的 20 个过期域。

有了这个， 能够确定有几种方法可以引入恶意程序包 （或对合法包的恶意更改）。 例如， 成为孤立包的维护者 （即以前的维护者不再支持的包）或输入流行的包名称。

另一种选择是查找在创建过程中使用带有过期域的 URL 的包，注册域并托管恶意文件。 有多少数据包容易受到这种攻击？ 让我们来了解一下！

有人提到 这个过程并不像人们想象的那么简单。 仅仅注册一个域是不够的，因为这不足以欺骗数据包，因为下载的内容会与已经加载到 AUR 中的校验和进行比较。 但是，AUR 中大约 35% 的包的维护者似乎使用 PKGBUILD 文件中的“SKIP”参数来跳过校验和检查（例如，指定 sha256sums=('SKIP')）。 在 20 个域名过期的包中，4 个使用了 SKIP 参数。

显示可能性 进行攻击， 研究人员购买了其中一个不检查总和的软件包的域 验证并放置一个包含代码和修改后的安装脚本的文件。

不幸的是，没有标准化的方法来检查域是否可用。 最流行 TLD 的 WHOIS 响应包含可用域的“域不匹配”之类的内容，但并非所有 TLD 都如此。 一个好的第一步是过滤掉任何具有 DNS 记录集的域，因为这些域（很可能）仍在使用中。 为了快速发出许多 DNS 请求，我们使用 blechschmidt/massdns 。 这是一个很棒的工具，可以让我们在几秒钟内解析数千个域。

脚本中添加了有关第三方代码执行的警告，而不是实际内容。 尝试安装该软件包会导致下载欺骗性文件，并且由于校验和未得到验证，因此成功安装和执行了实验者添加的代码。

最后 提到AUR包劫持不是一个新概念，因为 AUR 数据包劫持一直是可能的（以多种方式）并且是已知的风险。

如果你是 有兴趣了解更多，您可以查看详细信息 在下面的链接中。