Ubuntu Suomen keskustelualueet
Muut alueet => Muut käyttöjärjestelmät ja Linux-jakelut => Aiheen aloitti: elohope - 13.06.26 - klo:13.08
-
Tämä on vakavaa, kun se on ehkä osunut omaankin nilkkaan. Löytyi yksi mahdollisesti saastunut paketti omalta koneelta. Saastutettuja paketteja on AUR-varastossa noin 400, ja vaarassa ovat ainakin ne käyttäjät, jotka ovat päivittäneet Arch Linux -konettaan ajalla 10-12.6.2026.
Lisätietoa:
https://cybersecuritynews.com/arch-linux-aur-packages-compromised/
Skripti, jolla voi identifioida mahdollisesti saastuneita paketteja omalta koneelta:
https://gist.github.com/Kidev/85756c3dcad3623ca5604a8135bafd14
Myöhempi lisäys: Taisin välttää vaaran. Vaarallinen paketti, jonka ylläoleva skripti paljasti, osoittautui Geminin kanssa käydyssä keskustelussa viattomaksi. Tässä keskustelu siltä varalta, että siitä on hyötyä:
Mitä teen tässä tilanteessa, jossa Atomic Arch -hyökkäys on mahdollisesti saastuttanut paketin ffmpeg3.4? Tässä tietoa aiheesta: Atomic Arch - AUR Packages Compromised .... (artikkeli kokonaisuudessaan)
1. vastaus
Ymmärrän, että tilanne on huolestuttava. Tietoturvauhat ovat aina stressaavia, mutta on hienoa, että olit valppaana ja ajoit tarkistuksen järjestelmääsi. Koska olen tekoäly, en voi fyysisesti puhdistaa konettasi, mutta voin auttaa sinua analysoimaan tilanteen faktat ja antamaan selkeät, turvallisuuskäytäntöihin perustuvat ohjeet vahinkojen minimoimiseksi.
Tässä ovat askeleet, jotka sinun tulisi tehdä välittömästi:
1. Eristä tietokone verkosta (Välitön toimenpide)
Katkaise koneestasi Wi-Fi tai irrota verkkokaapeli heti. Uutisen mukaan kyseessä on "infostealer", joka pyrkii varastamaan selaimen salasanoja, SSH-avaimia ja kryptolompakoita. Verkkoyhteyden katkaiseminen estää haittaohjelmaa lähettämästä enempää tietojasi eteenpäin, jos se on parhaillaan aktiivinen.
2. Varmista tartunnan ajankohta (Onko kyseessä väärä hälytys?)
Uutisen mukaan hyökkäys tapahtui 10.–12. kesäkuuta 2026. Haittaohjelma aktivoituu, kun paketin PKGBUILD-skripti suoritetaan asennuksen tai päivityksen yhteydessä.
Jos olet asentanut ffmpeg3.4:n kuukausia tai vuosia sitten, etkä ole päivittänyt sitä juuri noiden päivien aikana, koneellasi on todennäköisesti alkuperäinen, puhdas versio. Tarkistusskriptisi saattaa vain varoittaa paketin nimestä katsomatta sen asennusajankohtaa.
Tarkista, milloin paketti on asennettu tai päivitetty katsomalla pacmanin lokeja (voit tehdä tämän ilman nettiyhteyttä):
Bash
grep -i "ffmpeg3.4" /var/log/pacman.log
3. Vaihda salasanat TOISELLA laitteella (Jos asensit/päivitit paketin 10.-12.6.)
Jos logit paljastavat, että ajoit asennuksen tai päivityksen saastumisaikaikkunan sisällä, sinun on oletettava, että tietosi on vaarannettu.
Älä kirjaudu enää millekään tileille tältä Arch-koneelta.
Ota käyttöön toinen, turvallinen laite (esim. puhelin tai toinen tietokone).
Vaihda kriittiset salasanat välittömästi (sähköpostit, pankit, tärkeimmät palvelut).
Kuolleta tai vaihda SSH-avaimet ja API-tokenit.
Jos koneella oli kryptovaluuttalompakoiden siemenlauseita (seed phrase) tai lompakkotiedostoja, siirrä varat uusiin lompakoihin välittömästi.
4. Puhdista järjestelmä
Jos varmistuu, että paketti asennettiin saastuneena aikana, järjestelmässäsi voi artikkelin mukaan olla rootkit-tyyppinen piilohallintaohjelma, joka naamioituu ytimen (kernel) prosesseiksi.
Poista itse paketti: sudo pacman -Rns ffmpeg3.4
Aja artikkelin suosittelemat tarkistukset rootkitien varalta (rkhunter tai chkrootkit).
Karu totuus: Koska haittaohjelma pyrkii aktiivisesti piilottamaan itsensä (rootkit), kaikkein turvallisin ja varmin tapa palauttaa järjestelmän luotettavuus on formatoida kiintolevy ja asentaa Arch Linux uudelleen. Pelkkä paketin poisto ei todennäköisesti poista taustalle jäänyttä haittakoodia.
Haluatko, että katsomme yhdessä pacman.log -tiedostosi tulostetta, jotta voimme varmistaa tarkalleen, onko koneellesi ajettu tuo saastunut koodi viime päivinä?
2. vastaus
Selvä, tarkistetaan tilanne!
Aja Arch-koneellasi seuraava komento terminaalissa. Jos koneesi on edelleen irti verkosta (kuten suositeltua), voit esimerkiksi lukea tulosteen näytöltä ja kirjoittaa sen minulle, tai siirtää sen tekstitiedostona puhelimeen/toiselle laitteelle:
Bash
grep -i "ffmpeg3.4" /var/log/pacman.log
Tämä komento etsii lokitiedostosta kaikki maininnat ffmpeg3.4-paketista ja näyttää tarkat päivämäärät ja kellonajat, jolloin se on asennettu tai päivitetty.
Voit myös katsoa laajemmin, mitä AUR-paketteja koneellesi on asennettu hyökkäysajanjakson (10.–12. kesäkuuta 2026) aikana tällä komennolla:
Bash
grep -E "2026-06-(10|11|12)" /var/log/pacman.log | grep -E "installed|upgraded"
Kopioi tai kirjoita näiden komentojen antamat rivit tähän, niin katsotaan, osuvatko ne kriittiseen aikaikkunaan!
ffmpeg3.4 asennettiin 13.6. Mitä tarkoittaa, että kyseinen paketti "is owned by ffmpeg3.4 3.4.13-3"
3. vastaus
Tämä on erittäin tärkeä ja potentiaalisesti huojentava tieto! Käydään ensin läpi tuo pacmanin ilmoitus ja analysoidaan sitten, mitä 13.6. asennuspäivämäärä tarkoittaa.
Ilmoitus "is owned by ffmpeg3.4 3.4.13-3" on Arch Linuxin pakettienhallinnan vakiotuloste. Se tarkoittaa yksinkertaisesti seuraavaa:
is owned by: Kysytty tiedosto (tai hakemisto) ei ole järjestelmässäsi irrallaan, vaan sen on asentanut järjestelmään jokin virallinen paketti.
ffmpeg3.4: Tämä on sen paketin nimi, johon tiedosto kuuluu.
3.4.13-3: Tämä on kyseisen paketin tarkka versionumero (3.4.13 on itse ohjelmiston versio ja -3 on Archin oma pakkausversio eli pkgrel).
Tämä on täysin normaali ilmoitus, eikä se itsessään ole virhe tai merkki haittaohjelmasta. Se vain kertoo paketin ja asennetun version identiteetin järjestelmässäsi.
Mitä asennuspäivämäärä (13.6.) tarkoittaa turvallisuutesi kannalta?
Uutisartikkelin mukaan haitallinen Atomic Arch -kampanja tapahtui 10.–12. kesäkuuta 2026. Se, että asensit (tai päivitit) paketin 13. kesäkuuta, muuttaa tilannettasi merkittävästi ja todennäköisesti parempaan suuntaan.
Tässä on kaksi mahdollista skenaariota:
Skenaario A: Asensit turvallisen, korjatun version (Todennäköisin)
Koska Archin ylläpitäjät huomasivat hyökkäyksen 11.–12. päivä ja peruivat haitalliset muutokset, he julkaisivat asennusskripteistä puhtaat versiot. Archissa versionumeron loppuosa (tässä -3) nousee usein juuri silloin, kun paketin asennusskriptiä (PKGBUILD) on päivitetty tai korjattu. On erittäin todennäköistä, että 13.6. asentamasi 3.4.13-3 on juuri se puhdistettu versio, joka julkaistiin haittaohjelman poistamisen jälkeen.
Skenaario B: Asensit saastuneen version aivan hyökkäyksen loppumetreillä
Jos asennus tapahtui varhain yöllä tai aamulla 13. päivä, ja käyttämäsi asennustyökalu ei ollut vielä hakenut uusinta korjausta, on pieni teoreettinen riski, että sait vielä haitallisen version. Ajamasi tarkistusskripti (check_aur_infected.sh) saattaa myös olla yksinkertainen ja liputtaa kaikki ffmpeg3.4-paketit vain nimen perusteella, katsomatta versionumeroa tai asennusaikaa.
Suositellut toimenpiteet
Vaikka tilanne näyttää huomattavasti valoisammalta, tietoturvassa ei kannata jättää asioita oletusten varaan.
Poista paketti väliaikaisesti:
Poista kyseinen paketti järjestelmästäsi varmuuden vuoksi komennolla:
sudo pacman -Rns ffmpeg3.4
Tarkista välimuisti:
Jos käytät AUR-apuohjelmaa (esim. yay tai paru), sen välimuistissa on yhä kopio siitä PKGBUILD-tiedostosta, joka koneellesi ajettiin. Voit tarkistaa, löytyykö sieltä haitallista koodia. Jos skriptissä näkyy viittauksia atomic-lockfile tai js-digest -npm-paketteihin, asennettu versio oli saastunut.
Pysy valppaana:
Koska asennus ajoittuu aivan hyökkäyksen perään, kannattaa edelleen pitää silmällä järjestelmän prosesseja. Jos välimuistin tarkistus osoittaa skriptin olleen saastunut, palaa aiempiin ohjeisiin (salasanojen vaihto ja järjestelmän perusteellinen puhdistus). Jos skripti on puhdas, selvisit säikähdyksellä.
Kuinka tarkistan välimuistin (kohta 2). Anna yksityiskohtaiset, selkeät ohjeet.
4. vastaus
Hienoa, että haluat varmistaa asian loppuun asti. Tämä on täsmälleen oikea tapa toimia.
Useimmat Archin AUR-apuohjelmat (kuten yay ja paru) tallentavat lataamansa asennustiedostot, mukaan lukien tuon kriittisen PKGBUILD-skriptin, kotihakemistosi piilotettuun .cache-kansioon.
Tässä ovat yksityiskohtaiset ohjeet, joilla voit tutkia, oliko koneellesi haettu asennusskripti saastunut. Voit tehdä tämän turvallisesti ilman verkkoyhteyttä.
1. Paikanna ja lue PKGBUILD-tiedosto
Käytettävä komento riippuu siitä, mitä ohjelmaa yleensä käytät AUR-pakettien asentamiseen. Aja terminaalissa se komento, joka vastaa käyttämääsi apuohjelmaa.
Jos käytät yay-ohjelmaa:
Bash
cat ~/.cache/yay/ffmpeg3.4/PKGBUILD
Jos käytät paru-ohjelmaa:
Bash
cat ~/.cache/paru/clone/ffmpeg3.4/PKGBUILD
(Jos et ole varma kumpaa käytät, voit kokeilla molempia. Jos saat ilmoituksen "Tiedostoa tai hakemistoa ei ole", kokeile toista.)
Tämä komento tulostaa skriptin koko sisällön ruudullesi. Skripti on pelkkää tekstiä, sen lukeminen cat-komennolla on täysin turvallista eikä suorita siinä olevaa koodia.
2. Etsi haitallisia merkkejä
Selaa tulostetta läpi (voit joutua rullaamaan terminaalia ylöspäin). Etsit merkkejä siitä uutisartikkelin mainitsemasta "koodin injektiosta".
Mitä etsit (Haitalliset merkit):
Sanoja atomic-lockfile tai js-digest.
Rivejä, joissa lukee npm install tai npm i yhdistettynä yllä oleviin sanoihin. (ffmpeg on C-kielellä kirjoitettu video-ohjelmisto, sen kääntämiseen ei pitäisi koskaan liittyä Node.js- tai npm-pakettien lataamista).
Mitä tahansa outoja curl tai wget -komentoja, jotka lataavat tiedostoja oudoista IP-osoitteista juuri ennen varsinaista käännösvaihetta (esim. build() -funktion sisällä).
Miltä näyttää puhdas tiedosto:
Puhdas PKGBUILD ffmpeg3.4:lle sisältää yleensä vain perusasioita:
Paketin nimen ja version (pkgname=ffmpeg3.4, pkgver=3.4.13).
Pitkän listan riippuvuuksia (depends=(...)).
Alkuperäisen lähdekoodin latauslinkin (source=(https://ffmpeg.org/releases/...)).
build()-funktion, joka sisältää pitkän rivin ./configure -parametreja (kuten --enable-gpl, --enable-libx264, jne.) ja lopuksi komennon make.
Vaihtoehtoinen tapa: Automaattinen haku
Jos et halua lukea koko tiedostoa itse, voit käskeä terminaalia etsimään nuo kaksi haitallista taikasanaa suoraan puolestasi. Aja tämä komento:
Bash
grep -E "atomic-lockfile|js-digest" ~/.cache/yay/ffmpeg3.4/PKGBUILD ~/.cache/paru/clone/ffmpeg3.4/PKGBUILD 2>/dev/null
3. Miten tulkitset tuloksen?
Skripti on puhdas (Eikä grep-komento tulostanut mitään):
Jos tiedostosta ei löydy mainintoja noista npm-paketeista ja sisältö näyttää normaalilta ffmpegin kääntämiseltä, voit huokaista helpotuksesta. Tämä vahvistaa, että asensit 13.6. jo turvalliseksi korjatun version (3.4.13-3), josta Arch-ylläpito oli siivonnut haittakoodin pois. Voit kytkeä koneesi takaisin verkkoon ja halutessasi asentaa paketin uudelleen.
Löysit haitallisia rivejä:
Jos skriptissä lukee atomic-lockfile tai js-digest, saastunut koodi on ajettu koneellasi asennuksen yhteydessä 13.6. Tällöin sinun tulee pitää kone irti verkosta, olettaa salasanasi ja avaimesi vaarantuneiksi, ja siirtyä salasanojen vaihtoon toisella laitteella sekä järjestelmän uudelleenasennukseen aiempien ohjeiden mukaisesti.
-
AUR tuli vastaan kauan sitten omissa Arch kokeiluissa. Repo kuulosti ensin todella hyvältä, mutta vaivasi kyllä kun tajusi, että kyseisessä repossa ei ole käytännössä mitään valvontaa. No toki hyvä muistutus ihan kaikille. Eipä se paljoa poikkea jos Debian johdannaisiin tunkee satunnaisia lisärepoja.