[ON] Атакующие скомпрометировали 1577 пакетов в репозитории AUR

[rssbot]

Зафиксирована массовая компрометация пакетов в репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 469 1577 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступа с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр.


Атакующие взяли на себя сопровождение пакетов, имеющих статус "orphaned" и оставшихся без сопровождающих. В качестве имени указывалось имя последнего сопровождающего, но другой email, после чего добавлялся один коммит и публиковалось обновление. Коммит добавлял "npm" в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile или js-digest, содержащие скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.



После активации вредоносное ПО закреплялось в системе в виде сервиса systemd со случайным именем и при выполнении камуфлировалось под поток ядра. При запуске с правами root сервис создавался на системном уровне (/etc/systemd/system) и дополнительно активировал работающий на уровне ядра rootkit, а при выполнении с правами пользователя - запускался от имени пользователя (~/.config/systemd/user). Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.


Дополнение 1: число пакетов в AUR, в которые была внедрена загрузка вредоносного NPM-пакета js-digest достигла 879. Общее число захваченных пакетов оценивается в 1577. Разработчики Arch Linux принимают меры для остановки волны захвата пакетов. До выработки окончательного решения могут наблюдаться проблемы с созданием новых учётных записей в AUR, отправкой обновлений пакетов и созданием новых пакетов.


Дополнение 2: Реализованных мер оказалось недостаточно и в AUR осуществлена подстановка вредоносного кода ещё в 54 пакета. На этот раз в зависимости добавлен bun, а в функцию post_install вставлена обфусцированная строка для установки вредоносных пакетов командой "bun add".


Источник: https://www.opennet.ru/opennews/art.shtml?num=65670
(opennet.ru, основная лента)