Jak podaje serwis Hacker News, pod koniec ubiegłego tygodnia doszło do poważnego cyberataku na społecznościowe repozytorium Arch User Repository (AUR), w ramach którego przejęto ponad 400 porzuconych pakietów. Kampania, nazwana przez ekspertów ds. cyberbezpieczeństwa „Atomic Arch”, skupia się na modyfikacji skryptów budujących oprogramowanie w celu instalacji softu do kradzieży danych oraz wdrażania zaawansowanego rootkita eBPF, skutecznie ukrywającego obecność złośliwego kodu w systemie operacyjnym.
Hakerzy kontra Arch Linux
Już na wstępie wypada podkreślić, iż problem dotyczy właśnie AUR, czyli kolekcji pakietów społecznościowych Arch Linuksa, będących odrębną treścią względem oficjalnych repozytoriów tytułowej dystrybucji. Nie umniejsza to oczywiście powadze ataku, któremu i tak warto przyjrzeć się z bliska, aby poznać sposób działania przestępców – tym bardziej że nie stronią oni od szydzenia z użytkowników systemu.
Zgodnie z tym, co zostało napisane we wstępie, społeczność zebrana wokół systemu Arch Linux zmaga się z masowym przejęciem ponad 400 pakietów w repozytorium AUR (Arch User Repository). Włamywacze zmodyfikowali skrypty instalacyjne w taki sposób, aby automatycznie wdrażały oprogramowanie wykradające poświadczenia na każdej maszynie, która uruchomi proces kompilacji. Co kluczowe, incydent ten nie wynika z żadnej technicznej luki w strukturze oprogramowania ani błędów typu zero-day. Atak w całości uderzył w strukturę zaufania, na której opiera się to społecznościowe repozytorium.
Zmodyfikowane pakiety w pełni zachowały swoje dotychczasowe nazwy, historię zmian oraz reputację. Zmianie uległy wyłącznie wewnętrzne instrukcje instalacji, co sprawiło, że złośliwy kod mógł umknąć uwadze użytkowników. Sprawcy incydentu dobierali się głównie do porzuconych projektów, których pierwotni twórcy wstrzymali ich rozwój. Co więcej, hakerzy odpowiedzialni za atak sfałszowali metadane zgłoszeń w systemie Git w taki sposób, aby sugerowały one aktywność wieloletniej i zaufanej osoby odpowiedzialnej za utrzymanie tego fragmentu softu.
„Atomic Arch” i jego skutki
Firma Sonatype zidentyfikowała tę kampanię pod nazwą „Atomic Arch”. Została ona zarejestrowana w bazie jako Sonatype-2026-003775 i przypisano jej wysoki wskaźnik oceny podatności CVSS na poziomie 8,7. Głównym złośliwym ładunkiem wykorzystywanym przez hakerów jest plik binarny napisany w języku Rust. Został on zaprojektowany do masowej kradzieży poufnych sekretów deweloperów, w tym danych uwierzytelniających oraz informacji zapisanych przez przeglądarki internetowe.
Zagrożenie drastycznie rośnie, gdy zainfekowany pakiet zostanie uruchomiony z uprawnieniami administratora. W takiej sytuacji malware automatycznie wdraża zaawansowany rootkit eBPF ukrywający aktywność hakerów. Poprzez bezpośrednią modyfikację map w strukturze /sys/fs/bpf/ (w tym specyficznych map hidden_pids, hidden_names oraz hidden_inodes), rootkit całkowicie maskuje procesy, nazwy i węzły powiązane ze szkodnikiem. Uniemożliwia to wykrycie infekcji za pomocą tradycyjnych narzędzi systemowych.
Jakby tego było mało, hakerzy wysyłają użytkownikom systemu prześmiewcze wiadomości.
Wśród zidentyfikowanych komunikatów znajdują się m.in. takie perełki, jak „Jesteś idiotą używającym kiepskiej dystrybucji, zainstaluj PIP, nie używaj AUR dla głupców; bądź wdzięczny, że nie dodałem prawdziwego malware, tylko przypomnienie w konsoli”, „Używam Windowsa”, „Szczęśliwego miesiąca dumy” oraz „Nowy albański wirus z Rosji”.
0 komentarzy