悪意あるアプリがArchユーザーリポジトリに侵入 - 自己防衛方法

ソフトウェアサプライチェーン管理企業Sonatypeの研究者は、Archユーザーリポジトリ（AUR）に約1500個の悪意あるパッケージが含まれていることを発見し、6月12日更新のブログ記事で発表しました。Archチームは声明で、「AURパッケージの全ユーザーに対し、更新時にすべてのPKGBUILDとインストールスクリプトの変更を確認するよう引き続き奨励します。特にこの時期は注意してください。使用中のパッケージに不審なコミットを発見した場合は、aur-generalメーリングリストを通じてArchスタッフに詳細をお知らせください」と述べています。

AURはArch（および派生ディストリビューション）ユーザーが利用できるソフトウェアを大幅に増やすために作られましたが、誰でもパッケージをアップロードでき、Trusted Usersと呼ばれるボランティアが監視を担当しています。悪意ある行為者がコードを難読化して正当なアプリとして提出すれば、ボランティアの負担もあり、すり抜ける可能性があります。1週間で約1500個もの悪意あるアプリが混入したこの問題は、AURの信頼性を脅かしています。これらの悪意あるアプリの具体的な動作や提出者についてはまだ報告されていません。

Archユーザーへの推奨事項は以下の通りです。

まず、AURからインストールしたすべてのパッケージをアンインストールしてください。コマンドsudo pacman -R パッケージ名で削除し、pacman -Qで確認します。

次に、AURの使用を停止してください。開発者が安全な解決策を見つけるまで、AURは使用しないでください。その後、Wiresharkなどのツールで不審な送信トラフィックを確認し、異常があればブロックするかOSを再インストールしてください。

代替としてFlatpakをインストールしましょう。sudo pacman -S flatpakでインストール後、flatpak remote-add --if-not-exists --user flathub https://dl.flathub.org/repo/flathub.flatpakrepoでFlathubリポジトリを追加し、flatpak install パッケージ名でアプリをインストールできます。FlathubにはSpotifyやSlackなどのプロプライエタリアプリも含まれています。

悪意ある行為者がコミュニティの取り組みを台無しにするのは残念です。Arch Linux自体は非常に安全ですが、AURは別の問題です。この問題を解決するには、AURに提出されるソフトウェアの整合性を検証する、より優れたシステムが必要です。5年前のRedditスレッドでも指摘されているように、ユーザーがすべてを自己チェックするのは新規ユーザーにとってハードルが高く、何か劇的な変化がなければAURは使われなくなるでしょう。