Jei naudojatės Arch Linux ir pastarosiomis savaitėmis atnaujinote sistemą per AUR, jūsų slaptažodžiai, naršyklės duomenys ir net SSH raktai gali būti jau nebe jūsų. Daugiau nei 400 paketų populiariausiame Arch Linux bendruomenės repozitoriume buvo tyliai užkrėsti kenkėjišku kodu, kuris veikia taip giliai, kad net sistemos administratorius jo nepastebėtų.
Nepriklausomas žvalgybinis tinklas IFIN (Independent Federated Intelligence Network) birželio 12 dieną paskelbė ataskaitą, kurioje detalizuojama, kaip naujas prižiūrėtojas AUR platformoje apsimetė patikimu leidėju ir įkėlė šimtus modifikuotų paketų. Kiekviename iš jų slypėjo prieš-instaliacinis skriptas, kuris tyliai atsisiųsdavo ir paleisdavo kenkėjišką npm paketą pavadinimu „atomic-lockfile".
Kaip veikia šis rootkit'as
Saugumo tyrėjas, prisistatantis slapyvardžiu Whanos, išanalizavo vieną iš užkrėstų failų ir rado Linux ELF vykdomąjį failą „deps". Tai nėra eilinis virusas — jis turi eBPF (extended Berkeley Packet Filter) rootkit'o galimybes, leidžiančias kenkėjiškam kodui veikti pačioje Linux branduolio šerdyje su aukščiausiomis privilegijomis.
// reklamaČia gali būti jūsų reklamaSusisiekite →eBPF technologija iš pradžių buvo sukurta teisėtam tinklo paketų filtravimui, bet čia ji panaudota priešingam tikslui — paslėpti kenkėjiškus procesus, failus ir tinklo sąsajas nuo bet kokio monitoringo įrankio. Sistema atrodo švari, nors iš tiesų joje jau veikia vagis. Tai technika, kurią dar prieš porą metų matėme tik valstybinių lygio kibernetinėse operacijose — dabar ji pasiekiama bet kam, kas moka parašyti PKGBUILD failą.
Ką būtent vagia
Whanos teigimu, „deps" taikosi į kūrėjų darbo stotis ir build aplinkas. Jis renka naršyklių ir Electron aplikacijų duomenis, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, VPN prisijungimus, shell istorijas ir kitus lokaliai saugomus kūrėjų paslaptis. Praktiškai — viską, ką programuotojas ar sistemų administratorius laiko savo mašinoje.
Tuo tarpu programinės įrangos tiekimo grandinės valdymo kompanija „Sonatype" paskelbė atskirą ataskaitą apie tą pačią kampaniją, bet atskleidė kitą atakos būdą. Jų tyrėjai nustatė, kad užpuolikas perėmė mažiausiai 20 paliktų (orphaned) AUR paketų ir modifikavo PKGBUILD failus — Bash skriptus su build instrukcijomis — pridėdamas post-install skriptą, kuris iškviečia npm ir įdiegia atomic-lockfile.
Kodėl AUR yra pažeidžiamas
AUR (Arch User Repository) yra bendruomenės prižiūrimas repozitoriumas, laikomas būtinu bet kokiai Arch pagrindu veikiančiai distribucijai. Jame talpinami nuosavybiniai programų paketai, beta ir naktinės atviro kodo versijos, nišinės utilitos ir senesnės versijos, kurių nebėra oficialiuose Arch saugyklose. Tačiau AUR nėra tikrinama erdvė — bet kas gali tapti paketo prižiūrėtoju, o kai paketas keičia savininką, tai dažnai lieka nepastebėta.
Būtent šia spraga ir pasinaudojo užpuolikai. Jie perėmė paketus, kurių niekas aktyviai neprižiūrėjo, ir įterpė kenkėjišką kodą. Vartotojai, kurie pasitikėjo AUR reputacija, įdiegė užkrėstus atnaujinimus net neįtardami, kad jų sistema jau kompromituota.
Tai ne pirmas toks atvejis. 2024 metais panaši ataka per Python Package Index (PyPI) išplatino infostealer'ius per šimtus paketų. 2025 metais npm registre buvo aptikta kampanija, naudojusi „dependency confusion" techniką. Tačiau AUR ataka išsiskiria mastu — 400 paketų vienu metu — ir eBPF rootkit'o panaudojimu, kuris yra žymiai pavojingesnis nei įprasti infostealer'iai.
Ką daryti dabar
Kol kas oficialaus Arch Linux komandos pareiškimo nėra, tačiau saugumo bendruomenė ragina visus AUR naudotojus nedelsiant patikrinti savo sistemas. Jei naudojatės AUR helper'iais kaip yay ar paru, peržiūrėkite jų istoriją ir patikrinkite, ar nebuvo įdiegti paketai, kurių prižiūrėtojas neseniai pasikeitė.
Geriausia praktika šiuo metu: patikrinkite, ar jūsų sistemoje nėra failo „deps" arba npm paketo „atomic-lockfile". Jei abejojate — švari reinstaliacija yra vienintelis patikimas būdas. eBPF rootkit'as veikia branduolio lygyje, todėl paprastas antivirusinis skenavimas jo neaptiks.
Ko tikėtis toliau
Ilgesnėje perspektyvoje šis incidentas vėl kelia klausimą apie atviro kodo tiekimo grandinės saugumą. Kai programinė įranga, kurią naudoja milijonai kūrėjų, gali būti užkrėsta vieno žmogaus, apsimetusio patikimu prižiūrėtoju — sistema turi esminę spragą, kurios nepataisys joks atnaujinimas.
Arch Linux bendruomenė jau diskutuoja apie galimus sprendimus: privalomą dviejų faktorių autentifikaciją AUR prižiūrėtojams, automatinį paketų perėmimo auditą, o galbūt ir visiškai naują paketų pasirašymo mechanizmą. Tačiau kol kas tai tik diskusijos — o 400 užkrėstų paketų jau yra sistemoje tų, kurie atnaujino nepasitikrinę.
Dažnai užduodami klausimai
- Kas yra AUR ir ar aš jį naudoju?
- AUR yra Arch Linux bendruomenės repozitoriumas. Jei naudojate Arch Linux arba bet kurią Arch pagrindu veikiančią distribuciją (Manjaro, EndeavourOS, Garuda) ir diegiate paketus per yay, paru ar panašius įrankius, tikėtina, kad naudojate AUR.
- Kaip patikrinti, ar mano sistema užkrėsta?
- Peržiūrėkite AUR helper'io istoriją ir patikrinkite, ar pastaruoju metu buvo įdiegti paketai, kurių prižiūrėtojas pasikeitė. Ieškokite failo „deps" arba npm paketo „atomic-lockfile" savo sistemoje. Jei abejojate, atlikite švarią reinstaliaciją.
- Ar oficialūs Arch Linux paketai yra saugūs?
- Taip, oficialūs Arch Linux repozitoriumai (core, extra, community) yra prižiūrimi Arch komandos ir nėra paveikti šios atakos. Problema apsiriboja AUR bendruomenės repozitoriumu.
