Mbi 400 pakete të Arch Linux komprometuara me rootkit dhe infostealer
Mbi 400 pakete të Arch Linux komprometuara me rootkit dhe infostealer
Më shumë se 400 pakete në Arkivin e Përdoruesve të Arch (AUR) po shpërndajnë një rootkit Linux dhe një program infostealer që synon kredencialet dhe token‑at e hyrjes. Sipas raportit të rrjetit të inteligjencës së hapur Independent Federated Intelligence Network (IFIN), një mirëmbajtës i ri ka imituar një botues të besuar në platformën AUR për të futur pakete të infektuara. Arch Linux është i popullarizuar ndër përdoruesit e avancuar dhe zhvilluesit, të cilët përdorin AUR për të marrë versionet më të reja të softuerëve, drejtuesve dhe kernelit.
IFIN, përmes anëtarit të saj Michael Taggart, ka zbuluar se paketat e komprometuara përmbajnë skripte paraprake instalimi që shkarkojnë dhe ekzekutojnë një paketë npm të keqe të quajtur atomic-lockfile. Hulumtuesi i pavarur Whanos ka analizuar një mostrë të atomic-lockfile dhe ka gjetur një payload ELF për Linux me emrin deps, i cili është “një vjedhës kredencialesh me aftësi opsionale root‑only eBPF (Extended Berkeley Packet Filter) rootkit”. “Është projektuar për stacionet e punës së zhvilluesve dhe mjediset e ndërtimit. Synon të dhënat e shfletuesit dhe aplikacioneve Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, materialet VPN, historikat e shell‑it dhe sekrete të tjera lokale të zhvilluesve,” shpjegon Whanos. Teknologjia eBPF i lejon keqsoftuerin të funksionojë brenda kernelit me privilegje të larta dhe të maskojë proceset lokale.
Kompania Sonatype, e cila merret me menaxhimin e zinxhirit të furnizimit, ka publikuar gjithashtu një raport mbi një fushatë që synon depozitat e AUR dhe shpërndan paketën keqdashëse atomic-lockfile, por nëpërmjet një metode tjetër. Hulumtuesit e Sonatype-s thonë se aktori i kërcënimit mori kontrollin e të paktën 20 paketave të braktisura në AUR dhe modifikoi skedarin PKGBUILD – një skript Bash me informacionin e ndërtimit të paketave Arch – duke shtuar një skript pas‑instalimi që thërret npm për të shkarkuar paketën keqdashëse. “Paketat e modifikuara shtojnë një skript pas‑instalimi që thërret npm dhe instalon atomic-lockfile gjatë instalimit të paketës,” shpreh Sonatype. Analiza e mëtejshme ka treguar se paketa npm instalon një ekzekutues Linux me referenca për një rootkit eBPF që mund të fshehë procese, skedarë dhe ndërfaqe rrjeti, ndërsa gjithashtu përmban funksionalitete infostealer për të mbledhur dhe dërguar informacione të ndjeshme.
Mirëmbajtësit e AUR po punojnë për të identifikuar dhe hequr të gjitha commit‑et keqdashëse dhe për të bllokuar llogaritë që i kanë shtuar. Në një mesazh për komunitetin, mirëmbajtësi i paketave Arch, Jonathan Grotelüschen, i ka inkurajuar përdoruesit të raportojnë çdo paketë të dyshimtë. Si rekomandim i përgjithshëm, përdoruesit duhet të besojnë projektet që përditësohen rregullisht dhe kanë një komunitet aktiv, të kontrollojnë listën e paketave të prekur dhe të përdorin indikatorët e komprometimit nga raporti i Whanos. Michael Taggart ka publikuar gjithashtu një skript për të kontrolluar praninë e keqsoftuerit atomic-lockfile në sistem. Nëse g