Доверие не работает
От 400 до 1500 программных пакетов под дистрибутив Arch Linux, размещённых в репозитории Arch User Repository, оказались скомпрометированы и используются для распространения руткита и инфостилера.
Как указывается в публикации издания BleepingComputer, Arch Linux пользуется популярностью среди продвинутых пользователей и разработчиков, а каталог AUR служит источником для последних обновлений ПО, драйверов и ядра ОС Linux. Репозиторий предлагает скрипты для компиляции пакетов (PKGBUILD) с инструкциями, в том числе, по установке ПО, которое в официальных репозиториях Arch Linux недоступно. Кроме того, в AUR размещаются проприетарные приложения, промежуточные версии опенсорсного ПО, нишевые утилиты и более старые версии пакетов, в которых сохраняется та функциональность, которая может отсутствовать в новых версиях.
Однако какой-либо централизованной проверки публикации на AUR не проходят, чем и пользуются злоумышленники.
По сведениям исследователя IFIN Майкла Тэггарта (Michael Taggart), скомпрометированные пакеты оказались снабжены вредоносной «зависимостью», т.е. ссылаются на внешний компонент - пакет atomic-lockfile, обеспечивающий скачивание и запуск вредоносных составляющих.
Независимый исследователь под псевдонимом Whanos отметил, что в одном из перехваченных экземпляров atomic-lockfile присутствовал исполняемый ELF-файл под названием deps, представлявший собой средство кражи учётных данных, а также содержавший функциональность руткита, эксплуатирующего функциональность системы eBPF.
Данная система (extended Berkeley Packet Filter) предназначена для безопасного запуска пользовательского кода прямо внутри ядра. Если eBPF установлен на скомпрометированной рабочей станции, то и вредонос deps может запускаться в контексте ядра с повышенными привилегиями и скрывать процессы.
Как написал Whanos, «Он [deps] нацелен на рабочие станции разработчиков и сред сборки. Он атакует браузеры, данные приложений Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, данные SSH, VPN, а так же истории shell и другие локальные конфиденциальные сведения разработчика».
Не «до», а «после»
Исследователи компании Sonatype, специализирующиеся на защите цепочек поставок, опубликовали свой собственный анализ атак на AUR и пришли к несколько иным выводам.
По их мнению, злоумышленники перехватили контроль над множеством заброшенных пакетов на AUR и, модифицировав файл PKGBUILD, внедрили в них «зависимость», т.е. инструкции по установке компонента atomic-lockfile.
Заброшенными считаются пакеты, активная разработка или сопровождение которых не ведётся длительное время.
Если изначальная оценка масштабов кампании была невелика, то сейчас речь идёт о примерно 1500 пакетах. С 12 июня злоумышленники начали добавлять в качестве зависимостей новые пакеты - js-digest и lockfile-js, установка которых осуществляется уже с помощью Bun, среды выполнения JavaScript.
«Корень проблемы тут заключается в том, что контроль над заброшенными (орфанными) пакетами в AUR может запросить кто угодно, и, скорее всего, без особых проблем такой контроль получит, - указывает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Если речь идёт о пакетах с позитивной историей, то велика вероятность, что внедрённые в них зависимости окажут воздействие на большое количество чужих проектов, ссылающихся на них. Работает принцип цепной реакции. К сожалению, в текущей обстановке «расслабленный» режим безопасности в крупнейших опенсорсных репозиториях начинает превращаться в гипермасштабную проблему».
Компонент инфостилера, по данным исследователей, охотится на реквизиты доступа GitHub, SSH-артефакты, токены HashiCorp Vault, файлы cookie браузеров, данные Slack, Discord, Telegram и Microsoft Teams.
Вредонос способен архивировать данные, дробить архивы на составные части и выгружать их через HTTP, - типичный механизм эксфильтрации.
Администраторы AUR в настоящее время пытаются вычислить все скомпрометированные пакеты и заблокировать аккаунты, перехватившие контроль над ними.
«Мы по-прежнему призываем всех пользователей пакетов AUR проверять любые изменения в PKGBUILD и скриптах установки при обновлении, особенно в настоящее время», - заявили администраторы.
Волна за волной
Атаки на логистические цепочки в крупнейших открытых репозиториях программного кода начались ещё несколько лет назад; до недавнего времени крупнейшим инцидентом считалась успешная атака на правительственные и коммерческие организации по всему миру с использованием ПО SolarWinds Orion, приведшая к массированной утечке данных в 2020 году.
Во второй половине 2025 года началась кампания Shai Hulud, первоначально нацеленная на репозитории PyPI и npm. За ней предположительно стоит группировка TeamPCP.
Хакеры постепенно распространили свои атаки и на другие репозитории.
Что касается атак на AUR, то пока никто не взял на себя ответственность за них, и исследователи не высказывают никаких предположений, кто может этим заниматься.
Поделиться
