Az Arch Linux közösség egyik legsúlyosabb ellátási lánc (supply chain) incidensével szembesülhetett: biztonsági kutatók szerint több mint 400 Arch User Repository (AUR) csomagot módosítottak támadók annak érdekében, hogy egy Linux-specifikus információlopó és potenciális eBPF-alapú rootkit komponenseket tartalmazó kártevőt terjesszenek.
A támadás különösen veszélyes, mert elsősorban:
- fejlesztőket,
- rendszergazdákat,
- DevOps szakembereket,
- felhő infrastruktúrát kezelő munkatársakat
célozhatott.
Mi történt?
A kutatók szerint a támadók:
- karbantartói fiókokat vettek át vagy imitáltak,
- elhagyott (orphaned) AUR csomagokat szereztek meg,
- majd módosított PKGBUILD fájlokat töltöttek fel.
A módosított telepítők:
- automatikusan meghívták az npm-et,
- letöltöttek egy látszólag ártalmatlan csomagot (atomic-lockfile),
- amely végül egy Linux malware-t telepített.
Mit lopott a malware?
A vizsgálatok szerint a kártevő nem átlagos jelszólopó volt.
Kifejezetten fejlesztői környezeteket célzott.
Megpróbálhatta begyűjteni:
Fejlesztői hitelesítő adatokat
- GitHub tokenek
- GitHub hitelesítési adatok
- npm tokenek
- SSH kulcsok
Infrastrukturális hozzáféréseket
- Docker konfigurációk
- Podman konfigurációk
- HashiCorp Vault hitelesítő adatok
- VPN tanúsítványok
Kommunikációs platformok adatait
- Slack munkaterületek
- Discord munkamenetek
- Microsoft Teams adatok
- Telegram adatok
Böngésző információkat
- Cookie-k
- Aktív sessionök
- Mentett hitelesítések
Linux rendszerekből
- Shell history
- Bash history
- Parancselőzmények
A legveszélyesebb rész: eBPF rootkit
A kutatók szerint a malware képes lehetett kihasználni a Linux:
Extended Berkeley Packet Filter (eBPF)
funkcionalitását.
Ez azért problémás, mert az eBPF:
- kernel szinten fut,
- képes folyamatokat elrejteni,
- képes fájlokat elrejteni,
- képes hálózati kapcsolatokat elrejteni.
Ez gyakorlatilag rootkit-szerű működést tesz lehetővé.
Ha a támadó root jogosultságot szerzett, a fertőzés sokkal nehezebben észlelhetővé válhatott.
Miért különösen veszélyes?
Ez nem egy átlagos Linux malware.
A célpontok alapján inkább:
- forráskód-tárolók,
- CI/CD rendszerek,
- cloud infrastruktúrák,
- vállalati fejlesztői környezetek
lehettek.
Egyetlen kompromittált fejlesztői gép segítségével megszerezhetők:
- GitHub repositoryk,
- AWS/Azure/GCP hozzáférések,
- belső VPN-ek,
- deployment kulcsok,
- vállalati titkok.
Kiket érinthet?
Elsősorban azokat, akik:
- Arch Linuxot használnak,
- AUR helperrel telepítenek (yay, paru stb.),
- az elmúlt hetekben frissítettek AUR csomagokat.
Mit érdemes azonnal megtenni?
1. Ellenőrizni az AUR telepítési előzményeket
Nézd át:
- yay logokat
- paru logokat
- pacman logokat
2. Keresni az atomic-lockfile nyomait
Különösen:
npm list -gés
find ~ -name "*atomic*"3. SSH kulcsok cseréje
Ha érintett rendszer lehetett:
- új SSH kulcsok
- régiek visszavonása
4. GitHub tokenek cseréje
Azonnal:
- Personal Access Token
- GitHub App token
- Deploy key
forgatása javasolt.
5. Cloud hitelesítések cseréje
Különösen:
- AWS IAM kulcsok
- Azure Service Principal
- GCP Service Account kulcsok
6. Rootkit gyanú esetén
Ha a fertőzés biztosan lefutott:
a legbiztonságosabb eljárás:
- teljes újratelepítés
- megbízható telepítő médiáról
- csak ellenőrzött adatok visszaállítása
Mivel kernel szintű komponens is érintett lehet, egyszerű törlés nem feltétlenül elegendő.
Miért fontos ez az eset?
Ez ismét megmutatja, hogy a modern támadók már nem feltétlenül sérülékenységeket keresnek.
Sokszor egyszerűbb:
- egy csomagkarbantartót kompromittálni,
- egy elhagyott projektet átvenni,
- vagy egy fejlesztői függőséget megfertőzni.
Egy sikeres supply chain támadás több ezer rendszert érhet el egyszerre, különösen olyan ökoszisztémákban, mint az:
- npm
- PyPI
- RubyGems
- Cargo
- AUR
