أكثر من 400 حزمة من حزم Arch Linux مخترقة لنشر برامج خبيثة من نوع rootkit وinfostealer

أكثر من 400 حزمة من حزم Arch Linux مخترقة لنشر برامج خبيثة من نوع rootkit وinfostealer

تقوم أكثر من 400 حزمة في مستودع مستخدمي Arch (AUR) بتوزيع برامج خبيثة من نوع rootkit وinfostealer تستهدف بيانات الاعتماد ورموز الوصول.

يشير تقرير صادر عن شبكة الاستخبارات الفيدرالية المستقلة (IFIN)، وهي مجتمع استخبارات مفتوح المصدر، إلى أن أحد المشرفين الجدد ينتحل صفة ناشر موثوق على منصة AUR لنشر الحزم المصابة.

يحظى توزيع Arch Linux بشعبية واسعة بين المستخدمين المتقدمين والمطورين، الذين يستخدمون كتالوج AUR لتوفير أحدث الإصدارات من البرامج المثبتة وبرامج التشغيل ونواة النظام.

مستودع AUR هو مستودع يُدار من قِبل المجتمع لتوزيعة Arch، ويحتوي على نصوص بناء الحزم (PKGBUILDs) مع تعليمات لتنزيل وتجميع وتثبيت البرامج غير المتوفرة في مستودعات Arch الرسمية.

يُعتبر AUR ضروريًا لأي توزيعة مبنية على Arch، لاحتوائه على تطبيقات احتكارية، وإصدارات تجريبية/ليلية من برامج مفتوحة المصدر، وأدوات متخصصة، وإصدارات قديمة من الحزم التي تحتفظ بوظائف ربما أُزيلت في الإصدارات اللاحقة.

مع ذلك، فهو ليس بيئة مُراقبة، ويمكن للمهاجمين استخدامه لنشر برامج ضارة عبر حزم تتغير ملكيتها دون أن يلاحظ أحد.

بحسب مايكل تاغارت، عضو IFIN، فإن الحزم المخترقة مُعدّلة بنصوص ما قبل التثبيت التي تُنزّل وتُشغّل حزمة npm خبيثة تُسمى atomic-lockfile.

يشير الباحث الأمني ​​المستقل وانوس إلى أن إحدى عينات ملف القفل الذري تضمنت حمولة ELF لنظام لينكس تُدعى deps، وهي عبارة عن “برنامج لسرقة بيانات الاعتماد مع إمكانيات اختيارية لتقنية eBPF (مرشح حزم بيركلي الموسع) الجذرية، والتي تعمل فقط على مستوى المستخدم الجذر”.

ويقول وانوس في تقريره: “صُمم هذا البرنامج لمحطات عمل المطورين وبيئات البناء. ويستهدف بيانات المتصفح وتطبيقات Electron، بالإضافة إلى Slack وMicrosoft Teams وDiscord وGitHub وnpm وVault وDocker/Podman وSSH ومواد VPN وسجلات الأوامر وغيرها من أسرار المطورين المحلية”.

وبفضل تقنية eBPF، يمكن للبرنامج الخبيث العمل داخل نواة النظام بصلاحيات موسعة وإخفاء العمليات المحلية.

كما نشرت شركة Sonatype لإدارة سلاسل التوريد تقريرًا عن حملة استهدفت مستودع AUR وقامت بتوزيع حزمة ملف القفل الذري الخبيثة npm، ولكن باستخدام أسلوب مختلف.

أفاد باحثو شركة سوناتايب أن المهاجم استغلّ ما لا يقل عن 20 حزمةً معزولةً على مستودع AUR، وقام بتثبيت برنامج atomic-lockfile عن طريق تعديل ملف PKGBUILD – وهو عبارة عن سكربت Bash يحتوي على معلومات البناء اللازمة لحزم Arch Linux.

ووفقًا للتقرير، أضاف المهاجم سكربتًا يُنفّذ بعد التثبيت لاستدعاء npm واسترداد الحزمة الخبيثة.

وتقول سوناتايب: “تضيف الحزم المُعدّلة سكربتًا يُنفّذ بعد التثبيت، يستدعي npm ويُثبّت atomic-lockfile أثناء تثبيت الحزمة”.

ومع ذلك، أظهر التحليل أن حزمة npm قامت بتثبيت ملف تنفيذي لنظام Linux يحتوي على روابط لبرنامج eBPF الخبيث، والذي يُمكنه إخفاء العمليات والملفات وواجهات الشبكة.

بالإضافة إلى ذلك، يشير ملف لينكس الثنائي إلى احتوائه على وظائف لسرقة المعلومات، مستهدفًا الأنواع التالية من المعلومات الحساسة:

بيانات اعتماد GitHub
بيانات SSH
رموز HashiCorp Vault
قواعد بيانات ملفات تعريف الارتباط للمتصفح
بيانات Slack
بيانات Discord
بيانات Microsoft Teams
بيانات Telegram. وقد حددت Sonatype أن الملف الثنائي قادر على أرشفة البيانات، ومعالجة الملفات متعددة الأجزاء، وإجراء عمليات تحميل HTTP، مما يعني وجود وظائف لآلية تسريب بيانات نموذجية.

يعمل القائمون على صيانة مستودع AUR على تحديد وإزالة جميع التعديلات الخبيثة، وحظر الحسابات التي تنشرها.

في رسالة إلى المجتمع، حثّ جوناثان غروتيلوشين، المسؤول عن صيانة حزم Arch Linux، المستخدمين على الإبلاغ عن أي حزمة خبيثة يعثرون عليها.

كقاعدة عامة، يُنصح بالوثوق فقط بالمشاريع التي تُحدَّث بانتظام وتتمتع بمجتمع نشط.

يُنصح مستخدمو Arch بمراجعة قائمة الحزم المتأثرة والبحث عن مؤشرات الاختراق الواردة في تقرير Whanos.

أشار مايكل تاغارت أيضًا إلى برنامج نصي يتحقق من وجود برمجية atomic-lockfile الخبيثة على النظام.

في حال العثور على حزم مخترقة، يُنصح المستخدمون بتغيير جميع بيانات الاعتماد وإعادة تثبيت Arch من البداية، إذ قد تنجو برمجية التجسس الخبيثة من عمليات التنظيف العادية.