بیش از ۴۰۰ بسته در مخزن کاربران Arch (AUR) در حال توزیع یک Rootkit لینوکسی و بدافزار سرقت اطلاعات هستند که اعتبارنامهها و توکنهای دسترسی را هدف قرار میدهد.
توزیع Arch لینوکس در بین کاربران حرفهای و توسعهدهندگان محبوب است و از کاتالوگ AUR برای ارائه آخرین نسخههای نرمافزارهای نصبشده، درایورها و هسته استفاده میکند.
AUR یک مخزن نگهداریشده برای توزیع Arch است که شامل اسکریپتهای ساخت بسته (PKGBUILDs) با دستورالعملهایی برای دانلود، کامپایل و نصب نرمافزارهایی است که در مخازن رسمی Arch موجود نیستند.
AUR برای هر توزیع مبتنی بر Arch ضروری تلقی میشود زیرا شامل برنامههای اختصاصی، نسخههای بتا/شبانه نرمافزارهای متنباز، ابزارهای خاص و نسخههای قدیمیتر بستههایی است که قابلیتهایی را حفظ میکنند که ممکن است در نسخههای بعدی حذف شده باشند.
با این حال، AUR یک فضای بررسیشده نیست و عوامل تهدید میتوانند از آن برای انتقال بدافزار از طریق بستههایی که مالکیت را بدون اطلاع کسی تغییر میدهند، استفاده کنند
به گفته محققین، بستههای آسیبدیده از طریق اسکریپت ها تغییر داده شده و یک بسته npm مخرب بنام atomic-lockfile را دانلود و اجرا میکنند.
این بدافزار برای ایستگاههای کاری توسعهدهندگان و محیطهای ساختوساز طراحی شده است و دادههای مرورگر و برنامههای Electron، Slack، Microsoft Teams، Discord، GitHub، npm، Vault، Docker/Podman، SSH، VPN، تاریخچههای shell و سایر اطلاعات محرمانه توسعهدهندگان محلی را هدف قرار میدهد.
با وجود فناوری eBPF، این بدافزار میتواند با امتیازات بالا در داخل هسته اجرا شود و فرآیندهای محلی را پنهان کند.
شرکت Sonatype همچنین گزارشی در مورد کمپینی که مخزن AUR را هدف قرار داده و بسته مخرب atomic-lockfile npm را با روشی متفاوت ارائه میدهد، منتشر کرد.
محققان Sonatype میگویند که این عامل تهدید حداقل 20 بسته بدون استفاده را در AUR ربوده و با تغییر فایل PKGBUILD – یک اسکریپت Bash با اطلاعات ساخت مورد نیاز بستههای Arch Linux – atomic-lockfile را ارسال کرده است.
فایل باینری لینوکس نشان میدهد که دارای قابلیت سرقت اطلاعات است و انواع اطلاعات حساس زیر را هدف قرار میدهد:
• GitHub credentials
• SSH artifacts
• HashiCorp Vault tokens
• Browser cookie databases
• Slack data
• Discord data
• Microsoft Teams data
• Telegram data
محققین Sonatype تشخیص دادند که این فایل باینری میتواند دادهها را بایگانی کند، فایلهای چند قسمتی را مدیریت کند و آپلودهای HTTP را انجام دهد، بنابراین قابلیت یک مکانیسم معمول استخراج دادهها وجود دارد.
نگهدارندگان AUR در تلاشند تا تمام commitهای مخرب را شناسایی و حذف کنند و حسابهایی را که آنها را ارسال میکنند، مسدود کنند و در پیامی از کاربران خواست تا هر بسته مخربی را که پیدا میکنند، گزارش دهند.
به عنوان یک قاعده کلی، توصیه میشود فقط به پروژههایی اعتماد کنید که بهروزرسانیهای مکرر و یک جامعه فعال در اطراف خود دارند. به کاربران Arch توصیه میشود لیست بستههای آسیبدیده را بررسی کنند و به دنبال نشانههای خطر ارائه شده در گزارش Whanos باشند.
در صورت یافتن بستههای آسیبدیده، کاربران باید تمام اعتبارنامهها را تغییر دهند و نصب مجدد Arch را از ابتدا در نظر بگیرند، زیرا یک rootkit ممکن است از تلاشهای معمول پاکسازی جا بماند.
منبع: