Eli Schwartz, een van de maintainers van de Arch Linux repository ontving afgelopen weekend een verontrustend bericht van een gebruiker die zichzelf Qwence noemt. De gebruiker had ontdekt dat PDF-lezer Acroread was aangepast. Er was onder andere een script toegevoegd die het bestand compromised.txt plaatst in de root- en alle home-mappen. Daarnaast werd curl aangeroepen om scripts te downloaden van een andere website. Dat script zou vervolgens systemd regelmatig opnieuw opstarten.

Waarschuwing

Het script werkt overigens niet goed waardoor er geen extra scripts worden gedownload. Alleen de compromised.txt-bestanden worden aangemaakt. Deze aanpassingen zijn gedaan door een nieuwe gebruiker die zichzelf "xeactor" noemt. Deze persoon heeft de code van de applicatie "geadopteerd" nadat deze al behoorlijke tijd niet meer werd onderhouden door de originele maker.

Schwartz heeft de aanpassingen teruggedraaid, het account van de gebruiker geblokkeerd en nog twee andere aangepaste applicaties verwijderd. De maintainer raadt gebruikers aan de software te verwijderen.

Hoewel het aangepaste pakket niet echt schade aanricht, zien verschillende gebruikers deze aanpassing als een waarschuwing. Ook wordt er door verschillende gebruikers geopperd of door gebruikers geleverde applicaties wel in de repository mogen worden geplaatst. Giancarlo Razzolini, van Arch, laat weten gebruikers al op meerdere malen te waarschuwen voor het zomaar installeren van door gebruikers geleverde applicaties.

Het is niet de eerste keer dat malafide hackers op deze manier te werk gaan. Een jaar geleden bleek er zelfs een mysterieus bedrijf te zijn dat oude plug-ins opkocht en vervolgens uitrustte met adware.