Arch Linux-ის საზოგადოება სერიოზული კიბერუსაფრთხოების ინციდენტის წინაშე აღმოჩნდა. გავრცელებული ინფორმაციით, ჰაკერმა, რომელმაც AUR-ის (Arch User Repository) ერთ-ერთი მომხმარებლის, arojas-ის ანგარიშზე მოიპოვა კონტროლი, 408-ზე მეტი პაკეტი მავნე კოდით დააინფიცირა.

თავდასხმის სქემა საკმაოდ დახვეწილია. კომპრომეტირებული პაკეტები შეიცავს სპეციალურ preinstall სკრიპტებს, რომლებიც ავტომატურად იყენებენ npm-ს მავნე დატვირთვის, სახელად atomic-lockfile-ის ჩამოსატვირთად. ეს მექანიზმი მომხმარებლის სისტემაში მავნე პროგრამულ უზრუნველყოფას ნერგავს.

რა საფრთხეს შეიცავს ინფექცია?

უსაფრთხოების ექსპერტების მიერ ჩატარებულმა ანალიზმა დაადასტურა, რომ მავნე პაკეტები ორმაგი დანიშნულებისაა. პირველ რიგში, ისინი მოქმედებენ როგორც Infostealer, ანუ იპარავენ მომხმარებლის მგრძნობიარე მონაცემებს. მეორე და გაცილებით სახიფათო ნაწილი კი არის eBPF რუთკიტი, რომელიც თავდამსხმელს სისტემაზე ღრმა წვდომას და ფარულად მუშაობის საშუალებას აძლევს.

Socket.dev-ის მონაცემებით, თავდასხმაში გამოყენებული npm პაკეტი უკვე 134-ჯერ არის ჩამოტვირთული. საინტერესოა, რომ ამ პაკეტის უკან მდგომი მომხმარებლის, herbsobering-ის GitHub-ის პროფილში აღმოჩენილია კონტეინერის იმიჯი, რომელიც, სავარაუდოდ, reverse shell-ისა და პროქსი-ინსტრუმენტის ფუნქციას ასრულებს.

რეაგირება და უსაფრთხოება

AUR-ის სხვა მოდერატორები და აქტიური წევრები უკვე ჩართულნი არიან დაინფიცირებული პაკეტების ამოცნობისა და სისტემიდან მათი წაშლის პროცესში. თუმცა, ვინაიდან AUR-ის ბუნება ღიაა და ნებისმიერ მომხმარებელს შეუძლია პაკეტების ატვირთვა, მსგავსი „მიწოდების ჯაჭვის“ (supply chain) თავდასხმები განსაკუთრებით რთულად აღმოსაჩენია.

თუ თქვენ იყენებთ Arch Linux-ს, რეკომენდებულია პაკეტების სიის გადამოწმება და იმ პაკეტების ამოშლა, რომლებიც შესაძლოა arojas-ის ანგარიშთან იყოს დაკავშირებული. ასევე, ყურადღება მიაქციეთ პაკეტების განახლების პროცესში გაშვებულ სკრიპტებს, განსაკუთრებით იმ შემთხვევებში, როდესაც პაკეტი მოულოდნელად ცდილობს ინტერნეტთან დაკავშირებას ან npm-ის გამოყენებას.

მსგავსი მასშტაბის თავდასხმები, სადაც eBPF რუთკიტი გამოიყენება, იშვიათია და მიუთითებს თავდამსხმელების მაღალ ტექნიკურ კვალიფიკაციაზე.

უსაფრთხოების სპეციალისტები მოუწოდებენ მომხმარებლებს, იყვნენ სიფრთხილით განწყობილნი AUR-იდან პაკეტების დაინსტალირებისას და პერიოდულად გადაამოწმონ სისტემის ჟურნალები საეჭვო აქტივობის გამოსავლენად.