Хакери заразили понад 1500 пакетів Arch Linux і встигли запустити другу хвилю, поки йшло прибирання

Дослідники Sonatype виявили масштабну атаку на ланцюг постачання Arch User Repository: зловмисники систематично захоплювали покинуті AUR-пакети і вбудовували в них шкідливий код, що краде облікові дані. Поки команда Arch Linux зачищала сліди першої хвилі, атакуючі запустили другу — з новим методом доставки і новими пакетами. Станом на 18 червня кількість скомпрометованих пакетів перевищила 1 579.

Читайте также: Заміна ноутбука? Вийшов планшет OnePlus Pad 3 Pro з 13,2″ дисплеєм та 8 динаміками

Як це працювало

Зловмисники використали стандартний механізм усиновлення пакетів AUR, який дозволяє будь-якому члену спільноти взяти на себе підтримку покинутих проєктів. Отримавши контроль над легітимними, давно існуючими пакетами з реальною аудиторією, атакуючі модифікували файли PKGBUILD, додавши команди для встановлення шкідливого npm-пакету atomic-lockfile під час інсталяції.

Malware не змінював код самого пакету — лише скрипти збирання. Саме це дозволило йому тривалий час уникати автоматичного виявлення: традиційні механізми перевірки фокусуються на коді пакету, а не на інструкціях збірки. Шкідлива програма була написана на Rust і містила функціонал для збору облікових даних, eBPF-руткіт для приховування процесів, антидебагінг і механізми ексфільтрації даних.

Що крали

Перелік цілей показує, що за операцією стоять не звичайні скрипт-кідді. Шкідливе ПЗ цілеспрямовано збирало паролі браузерів, SSH-ключі, API-токени, облікові дані хмарних сервісів AWS/GCP/Azure, токени CI/CD-систем, а також дані з менеджерів паролів. Окремий модуль націлювався на корпоративні інструменти комунікації — Slack і Discord. Особливо небезпечним є eBPF-руткіт: після отримання root-доступу він маскує власні процеси під легітимні системні потоки, що робить виявлення зараження стандартними інструментами на кшталт ps і htop фактично неможливим.

Друга хвиля і операційна помилка

Поки команда Arch Linux опрацьовувала першу хвилю, дослідники Sonatype зафіксували нову активність. Друга хвиля використовувала Bun замість npm як альтернативний шлях встановлення — нові пакети js-digest і lockfile-js містили той самий preinstall-хук, але різний шкідливий бінарник. Попри еволюцію інструментарію, статичний аналіз виявив у нових пакетах ті самі характеристики: посилання на eBPF, браузерні артефакти і цілі в корпоративних месенджерах.

Атакуючі припустилися помилки: пакет lockfile-js містив preinstall-хук з посиланням на директорію lib/, якої в опублікованому пакеті просто не було. Ця недбалість і дозволила дослідникам остаточно підтвердити зв’язок між хвилями.

Читайте также: NASA та Northrop Grumman готують унікальну рятувальну операцію для телескопа Swift

Реакція Arch Linux

Команда Arch відреагувала швидко — але спочатку масштаб інциденту був серйозно недооцінений.

День розпочався з 400 скомпрометованих пакетів, через кілька годин цифра зросла до 900, а до кінця дня Arch Linux оголосив про завершення зачистки з підсумком 1 579 уражених пакетів — і уточнив, що список є неповним.Офіційні репозиторії Arch Linux — [core], [extra] і [multilib] — атака не зачепила. Постраждав виключно AUR.

Структурна проблема без простого рішення

За оцінкою The Next Web, в AUR наразі знаходиться близько 13 000 покинутих пакетів. Це величезна поверхня атаки, і жодне поточне прибирання її не закриває. Атакуючі все частіше обирають стратегію захоплення довірених покинутих проєктів замість класичного тайпосквотингу — і ця тактика стає дедалі ефективнішою.

Arch Linux сповідує принцип “довіряй, але перевіряй” — але реальність інциденту показала, що навіть досвідчені розробники рідко читають PKGBUILD перед установкою. Поки AUR не запровадить обов’язкову перевірку нових мейнтейнерів покинутих пакетів, наступна хвиля — лише питання часу.

Читайте также: Titan Quest 2 отримала українську локалізацію разом із найбільшим оновленням The Wild Lands

Джерело: Bleeping Computer