Разработчики дистрибутива Arch Linux зафиксировали масштабную компрометацию репозитория AUR, предназначенного для распространения пользовательских пакетов. Злоумышленники получили контроль над 469 программами и внедрили вредоносный код для хищения конфиденциальных данных. Подписывайтесь на Telegram-канал про технологии
Вектором атаки послужили пакеты со статусом «orphaned», оставшиеся без активных сопровождающих. Злоумышленники регистрировали учётные записи с именами прежних мейнтейнеров, используя домен gmail вместо оригинальных адресов, после чего публиковали заражённые обновления. В файлы сборки добавлялась зависимость от менеджера пакетов npm и скрипт, устанавливающий легитимные библиотеки вместе с вредоносными модулями atomic-lockfile или js-digest.
Активация вредоносного ПО происходила при установке пакета через pacman, запускающий пост-инсталляционные скрипты с правами суперпользователя. Внедрённый сервис systemd маскировался под поток ядра и выполнял сканирование системы на предмет ключей SSH, учётных данных, токенов доступа к GitHub, Discord, Slack, криптовалютных кошельков и истории команд оболочки.
Среди скомпрометированных проектов оказался пакет ALVR, популярный среди пользователей виртуальной реальности. Команда безопасности Arch Linux оперативно отозвала вредоносные обновления, заблокировала задействованные учётные записи и инициировала аудит процедур передачи прав на «осиротевшие» пакеты. Пользователям рекомендуется выполнить проверку систем на наличие аномальных systemd-сервисов, сменить ключи доступа и обновить критически важные пакеты из доверенных источников. Инцидент обращает внимание на риски в цепочках поставок в децентрализованных репозиториях и необходимость внедрения дополнительных механизмов верификации пользовательского контента.
Источник: trashbox.ru