Veliki supply chain napad pogodio Arch Linux zajednicu

Više od 400 paketa u Arch User Repositoryju (AUR) kompromitovano je u napadu na lanac snabdijevanja softverom, pri čemu su napadači izmijenili instalacijske skripte kako bi na računare korisnika instalirali malware za krađu podataka. Incident nije pogodio službene Arch Linux repozitorije, već isključivo AUR, zajedničku platformu za distribuciju paketa koju održava korisnička zajednica.

Prema istraživanju kompanije Sonatype, napadači su preuzimali napuštene projekte bez aktivnih održavalaca te u njihove PKGBUILD datoteke ubacivali zlonamjerni kod koji je preuzimao maliciozne npm pakete. Malware razvijen u programskom jeziku Rust prikupljao je osjetljive podatke, uključujući pristupne tokene za GitHub, npm i HashiCorp Vault, SSH ključeve, podatke iz web preglednika te informacije iz aplikacija kao što su Slack, Discord i Microsoft Teams. Sigurnosni istraživači navode da je malver mogao instalirati i eBPF rootkit za skrivanje svojih aktivnosti na kompromitovanim sistemima, ali samo u slučajevima kada je imao administratorske privilegije.

Dodatnu zabrinutost izaziva činjenica da su napadači zadržali originalne nazive i historiju paketa, iskorištavajući povjerenje korisnika bez potrebe za iskorištavanjem softverskih ranjivosti.

Broj kompromitovanih paketa nastavlja rasti, a sigurnosni stručnjaci upozoravaju korisnike koji su instalirali ili ažurirali AUR pakete nakon 11. juna da provjere svoje sisteme i pregledaju liste pogođenih paketa. Prema dostupnim informacijama, riječ je o jednom od najvećih napada na AUR ekosistem do sada, koji pokazuje koliko ozbiljne posljedice mogu imati kompromitovani elementi u lancu distribucije softvera.