ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- Arch User Repository에 악성 앱이 포함된 것으로 나타났습니다.
- 일주일에 두 번씩 이것이 발견되었습니다.
- 사용자는 경계해야 한다는 경고를 받지만 다른 더 쉬운 방법이 있습니다.
소프트웨어 공급망 관리 회사인 Sonatype의 연구원들은 Arch User Repository에 약 1,500개의 악성 패키지가 포함되어 있는 것을 발견했다고 회사가 6월 12일 업데이트한 블로그 게시물에서 밝혔습니다.
“우리는 AUR 패키지의 모든 사용자에게 계속해서 검토를 권장합니다. 모두 특히 이 기간 동안 업데이트할 때 PKGBUILD 및 설치 스크립트가 변경됩니다. 사용하는 패키지에서 의심스러운 커밋을 발견한 경우 aur-general 메일링 리스트를 통해 Arch 직원에게 자세한 정보를 문의하세요.”라고 Arch 팀은 간단한 성명을 통해 말했습니다.
이는 Arch(및 Arch 파생) 사용자가 사용할 수 있는 소프트웨어의 양을 극적으로 늘리기 위해 만들어진 저장소에는 좋은 징조가 아닙니다.
또한: Archcraft는 초보자 Linux 이상으로 발전할 준비가 된 모든 사람을 위한 견고하고 초고속 배포판입니다.
AUR은 본질적으로 개발자가 새로운 소프트웨어를 Arch 리포지토리에 공식적으로 추가하기 전에 Arch Linux 사용자에게 제공할 수 있는 방법입니다. PDKGUILD라고 하는 패키지 설명 모음으로, 다음을 사용하여 소스 코드에서 패키지를 컴파일할 수 있습니다. makepkg 도구를 선택한 다음 Arch Linux 패키지 관리자인 pacman을 통해 패키지를 설치합니다.
AUR의 장점은 누구나 패키지를 업로드할 수 있으며 신뢰할 수 있는 사용자 그룹이 무엇이 들어 있는지 감시하는 책임을 맡는다는 것입니다.
이게 어디로 가는지 알 수 있죠?
당신이 저장소에 제출된 모든 앱을 확인하는 임무를 맡은 자발적인 신뢰할 수 있는 사용자 중 한 명이라고 상상해 보세요. 이제 귀하가 해당 저장소에 악성 코드를 삽입하려는 악의적인 행위자라고 상상해 보십시오. 멀웨어를 난독화하고, 앱을 합법적인 것으로 제출하고, 신뢰할 수 있는 사용자가 코드의 모든 줄을 파헤칠 시간이 없을 것이라고 가정합니다. 신뢰할 수 있는 사용자는 코드를 빠르게 스캔하여 난독화를 확인하지 않습니다.
블라모! 방금 AUR에 악성 앱을 추가했습니다.
일주일 만에 약 1,500개의 악성 앱이 저장소에 들어왔습니다. 이는 뭔가 변화가 필요하다는 것을 의미합니다. 그렇지 않으면 Arch(및 Arch 기반) 사용자는 AUR을 신뢰할 수 없게 됩니다. 이러한 악성 앱이 무엇을 하는지, 누가 제출했는지에 대한 보고는 없습니다.
또한: 저는 30년 동안 Linux를 사용해 왔습니다. MacOS로 돌아가게 만드는 2가지를 포함하여 4가지 불만 사항이 남아 있습니다.
그동안 Arch 사용자들을 위한 몇 가지 권장 사항이 있습니다.
제거, 제거, 제거
먼저 AUR에서 설치한 모든 항목을 제거해야 하며 너무 늦지 않았기를 바랍니다. 현재로서는 AUR에 포함된 악성 코드가 얼마나 나쁜지 전혀 알 수 없으므로 해당 코드가 귀하의 시스템에 어떤 피해를 입혔는지 알 수 없습니다.
다행히 패키지를 제거하려면 다음과 같이 pacman을 사용할 수 있습니다.
sudo 팩맨 -R 패키지 이름
여기서 PACKAGENAME은 제거할 패키지입니다.
이 작업을 완료한 후 다음 명령을 사용하여 패키지가 제거되었는지 확인하세요.
팩맨 -Q
위 명령은 시스템에 설치된 모든 패키지를 나열합니다.
AUR 사용 중지
다음으로, 최소한 개발자와 신뢰할 수 있는 사용자가 이 문제를 피할 수 있는 솔루션을 찾을 때까지 AUR 사용을 중지하십시오. 이를 처리한 후 개발자가 안전하게 만들 수 있는 방법을 찾을 때까지 AUR 출입 금지를 고려하세요.
모든 패키지를 제거하고 AUR 사용을 중지한 후에는 Wireshark와 같은 도구를 사용하여 의심스러운 발신 트래픽이 있는지 테스트하십시오. 인식하지 못하는 것을 발견하면 찾아보세요. 악성코드와 관련이 없거나 알 수 없는 경우에는 나가는 트래픽을 차단하거나 OS를 재설치하세요.
어떤 위험도 감수하지 마십시오.
범용 패키지 관리자 채택
AUR 대신 Flatpak을 설치하고 거기에서 앱을 설치하세요. Flatpak을 사용하면 설치할 수 있는 수많은 응용 프로그램이 있으므로 생각만큼 AUR을 놓치지 않을 것입니다. 다음 명령을 사용하여 Flatpak을 설치할 수 있습니다.
sudo 팩맨 -S flatpak
설치 후 다음을 사용하여 Flathub 저장소를 추가하십시오.
flatpak 원격 추가 –if-not-exists –user flathub https://dl.plathub.org/repo/plathub.flakrepo
그런 다음 다음과 같이 필요한 것을 설치할 수 있습니다.
flatpak 설치 PACKAGENAME
여기서 PACKAGENAME은 Flathub에서 발견된 패키지의 이름입니다. AUR에서 사용할 수 없는 앱이 Flathub에 있다는 것을 알게 될 것입니다(Spotify 및 Slack과 같은 독점 앱도 포함).
또한: Linux를 사용한 지 30년이 지난 후 Windows 11에 기회를 주었고 9가지 분명한 문제를 발견했습니다.
나쁜 행위자가 모든 사람의 무언가를 망칠 수 있다는 것은 부끄러운 일입니다. Arch Linux는 매우 안전한 OS이지만 AUR은 다른 이야기입니다. 나는 AUR에 의존하는 사람이 아니기 때문에(사실 나는 거의 사용하지 않습니다) AUR에 의존하는 사람들만큼 나에게 영향을 미치지 않습니다.
이 문제를 해결하려면 AUR에 제출된 소프트웨어의 무결성을 확인하기 위한 훨씬 더 나은 시스템이 필요하다고 제안합니다. 나는 어떤 사람들이 그것을 수년 동안 AUR이 해왔던 것에 대한 모욕이라고 생각할 것이라는 것을 알고 있지만, 이 같은 문제가 계속된다면 AUR은 결국 황무지가 될 것입니다.
일주일 안에 거의 2,000개에 달하는 악성 앱이 눈에 띌 정도입니다. 그리고 개발자가 악성 앱이 발견될 때마다 올 클리어를 발행할 수 있더라도 어느 시점에서는 아무도 AUR을 신뢰하지 않을 것이므로 극적인 변화가 필요합니다.
5년 전의 이 Reddit 스레드조차도 이 문제가 오랫동안 우려되어 왔다는 것을 보여줍니다. 또한 설치한 모든 항목을 확인하는 책임은 사용자에게 있다는 사실도 강조합니다. 그렇다면 악성 코드에 사용하려는 소프트웨어를 검사해야 하는 경우 새로운 사용자를 어떻게 유치할 것입니까? 대답은… 그럴 수 없습니다.
공식 정보 바로가기