В 1579 пакетах Arch Linux обнаружили вредоносные коммиты

В пользовательском репозитории AUR Arch Linux обнаружилось более 400 пакетов, заражённых вредоносным ПО. Изначально разработчики посчитали, что все они были исправлены, но в результате число таких пакетов превысило 1500.

Авторы сообщили в ветке обсуждения инцидента указали, что удалили все известные им вредоносные коммиты. Там же приводится список пакетов, число которых достигло 1579. 

Однако даже в примечании к этому списку говорится, что он «содержит многие (но не все) затронутые пакеты». 

Отмечается, что официальные репозитории Arch Linux не пострадали, проблема затронула именно AUR. Это пользовательский каталог пакетов, который поддерживает сообщество. Через него потребитель часто получает не готовую программу, а инструкции, откуда загрузить исходный код, какие зависимости установить и какие команды выполнить. 

Компания Sonatype назвала кампанию Atomic Arch. Хакеры искали заброшенные пакеты без активного сопровождающего, и брали их на сопровождение. Затем они меняли PKGBUILD или сценарии установки .install.

Атака не использовала уязвимость в Arch Linux и не требовала взлома инфраструктуры дистрибутива. Вредоносный код запускался уже на этапе сборки. 

Хакеры добавляли установку пакета atomic-lockfile из npm с предустановочным сценарием preinstallatomic-lockfile 1.4.2 в сценарии preinstall, который запускал вложенный исполняемый файл для Linux с именем deps. Среди подтвержденных примеров упоминались alvr и premake-git. 

Независимый исследователь Whanos выяснил, что deps представляет собой написанный на Rust стилер, направленный на рабочие станции разработчиков и сборочные окружения. Он собирает данные из браузеров на базе Chromium, включая Chrome, Edge и Brave, вытаскивает сессии из приложений на Electron вроде Slack, Discord и Microsoft Teams, ищет токены GitHub, npm, HashiCorp Vault, информация доступа к OpenAI и ChatGPT, SSH-ключи, known_hosts, историю командной оболочки, учетные информация Docker и Podman, а равным образом VPN-профили.

Эти файлы отправлялись через HTTP на temp.sh, а команды управления шли через скрытый сервис Tor с локальным прокси. Для закрепления в системе стилер создавал службу systemd с автоматическим перезапуском. При запуске с правами root он копировал себя в каталог внутри /var/lib/ и создавал файл службы в /etc/systemd/system/. Без прав администратора использовал домашний каталог пользователя и пользовательскую службу systemd в ~/.config/systemd/user/.

Руткит на eBPF, который упоминался в ранних разборах, не даёт стилеру права администратора и не используется для повышения привилегий. Он загружается только тогда, когда вредоносный файл уже запущен с правами root и получил нужные возможности, но при активации может скрывать процессы, имена процессов и сетевые сокеты от стандартных инструментов, а равным образом мешать отладке.

Итак, удаления зараженного AUR-пакета недостаточно. Для избавления от стилера нужно менять ключи и токены, а при возможной активации руткита требуется переустанавливать систему с доверенного носителя.

Второй файл связан с monero-wallet-gui, и это возможный майнер Monero. 

Во следующий волне атаки хакеры использовали установку js-digest через bun. Эту активность связывают с отдельным набором аккаунтов, которые участники сообщества сопоставили с тем же автором пакета npm, что и atomic-lockfile. 

Разработчики Arch блокируют связанные аккаунты и просят пользователей сообщать о подозрительных пакетах в рассылке. 

Пользователям, которые устанавливали или обновляли AUR-пакеты с 11 июня, стоит проверить их по актуальным спискам затронутых проектов. Для обнаружения опубликован SHA-256 основного вредоносного файла: 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b. Полный набор индикаторов, включая адрес скрытого сервиса Tor, приведен в разборе ioctl.fail. 

Ранее в GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована за неделю до этого в итоге атаки на цепочку поставок npm от TanStack.

Между тем исследователи кибербезопасности обнаружили более 30 пакетов npm из пространства имен Red Hat ‘@redhat-cloud-services’, которые были скомпрометированы в результате атаки на цепочку поставок. В процессе неё хакеры распространили свежий вариант вредоносного ПО Shai-Hulud «Miasma», предназначенного для кражи учётных данных.

На днях Microsoft заблокировала доступ к десяткам своих проектов с открытым исходным кодом на GitHub. Компания расследует то, как хакеры могли взломать эти проекты и внедрить в их код вредоносное ПО для кражи паролей.