← 返回信息流
AI 资讯Hacker News·5 小时前

AUR软件包遭植入信息窃取器与Rootkit

原标题:AUR Packages Compromised with Infostealer and Rootkit

速览

Arch Linux用户社区维护的AUR(Arch User Repository)软件包近期发现被黑客入侵。攻击者在部分软件包中植入了信息窃取程序和Rootkit,旨在窃取用户敏感数据并维持对系统的持久控制。这一事件凸显了开源社区软件包维护的安全风险,提醒用户需警惕来源不明的第三方软件。

AI 深度解读

AUR 软件包遭入侵:Infostealer 与 Rootkit 供应链攻击深度解读

背景

Arch Linux 的用户仓库(Arch User Repository,简称 AUR)是 Arch Linux 社区维护的一个由用户驱动的仓库,包含了数以万计的社区贡献软件包。虽然 AUR 软件包本身不直接由 Arch Linux 官方维护,但其安全性和可靠性对依赖该生态的用户至关重要。

近期,安全研究人员发现了一起针对 AUR 的严重供应链攻击事件。一名自称 arojas 的 AUR 软件包维护者接管了超过 408 个软件包,并在其中植入了恶意代码。这一事件不仅涉及窃取信息的恶意软件(Infostealer),还涉及了更为隐蔽和危险的 eBPF Rootkit(根kit),引发了 Linux 安全社区的广泛关注。

核心内容

此次攻击的核心在于攻击者利用软件包维护者的权限,在软件包的构建脚本中植入了恶意载荷。以下是攻击的具体细节和技术分析:

攻击手法与恶意载荷

攻击者修改了受影响软件包的 PKGBUILD 文件(Arch Linux 软件包的构建脚本)。具体来说,他们在 preinstall(预安装)阶段引入了恶意的 npm 操作。

  1. 恶意依赖注入:受感染的软件包在预安装阶段会调用 npm 安装一个名为 atomic-lockfile 的恶意 NPM 包。
  2. 双重恶意行为
    • Infostealer(信息窃取器):该恶意包旨在窃取用户系统中的敏感信息,如凭据、API 密钥等。
    • eBPF Rootkit(根kit):更为严重的是,攻击者利用 eBPF(extended Berkeley Packet Filter)技术实现了内核级的隐藏和持久化控制。eBPF 允许在运行时动态加载用户态代码到内核空间,攻击者利用这一特性编写了 Rootkit,以隐藏其恶意进程、文件和网络连接,从而逃避常规的安全检测。

受影响范围

  • 数量庞大:据报告,共有超过 408 个 AUR 软件包被感染。
  • 维护者身份:主要嫌疑人为 AUR 维护者 arojas。该账号接管了大量软件包的所有权,并利用此信任关系进行恶意分发。
  • 关联账户:恶意 NPM 包 atomic-lockfile 由 GitHub 用户 herbsobering 维护。搜索该用户名发现,其 GitHub 上仅有一个容器镜像,该镜像疑似是一个反向 Shell(Reverse Shell)或代理工具,进一步证实了攻击者的基础设施准备。

技术细节示例

虽然原文未展示完整的代码片段,但指出受影响的软件包在构建过程中被修改,以执行以下逻辑:

# 伪代码示意
npm install atomic-lockfile
# 随后执行恶意载荷

这种修改使得任何从 AUR 安装这些软件包的用户,都会在安装过程中自动下载并执行恶意代码。

关键要点

  • 受影响用户群体:只有使用 Arch Linux 及其衍生发行版(如 EndeavourOS、Manjaro 等)并直接从 AUR 安装受影响软件包的用户受到威胁。非 Arch 用户不受影响。
  • 检测与清理
    • 社区已发布了一个名为 aur_check.sh 的脚本(托管在 GitHub),用于帮助用户检查系统中是否安装了受感染的软件包。
    • 其他 AUR 维护者正在积极协作,移除这些被感染的软件包。
  • 取证与恢复
    • 如果发现系统被感染,建议保留系统现场以进行数字取证调查。
    • 必须旋转(重置)所有凭据:由于存在 Infostealer,存储在系统中的密码、密钥等敏感信息可能已泄露。
    • 考虑重装系统:鉴于攻击中包含了 eBPF Rootkit,系统信任链已被破坏。Rootkit 可以深入内核层,常规杀毒软件难以彻底清除。因此,最安全的做法是备份重要数据后,重新安装 Arch Linux 系统。
  • 恶意包数据
    • 恶意 NPM 包 atomic-lockfile 在 Socket.dev 上显示有 134 次下载。
    • 虽然下载量看似不高,但考虑到 AUR 软件包的安装机制,实际受影响的用户可能更多。

意义与影响

此次事件揭示了开源软件供应链安全的严峻挑战,具有多重深远影响:

  1. 信任模型的脆弱性:AUR 依赖于社区维护者的诚信。当少数维护者被收买或账号被盗时,其维护的大量软件包会成为攻击入口。408 个软件包被感染,说明攻击者并非随机选择,而是有目标地接管了高影响力或特定领域的软件包。
  2. eBPF 双刃剑效应:此次攻击首次将 eBPF 技术与 Rootkit 结合并大规模用于供应链攻击。eBPF 本是 Linux 内核性能优化和安全监控的强大工具,但也被攻击者用于构建难以检测的内核级后门。这促使安全社区重新审视 eBPF 代码的安全审查机制。
  3. 供应链攻击的升级:传统的供应链攻击多集中在构建服务器或 CI/CD 管道。此次攻击直接针对包维护者(Maintainer),属于“人”的层面的供应链攻击。它提醒开发者和管理员,不仅要保护构建环境,还要严格审查维护者的行为和软件包内容的变更。
  4. 对 Arch 生态的警示:虽然 Arch 用户基数相对较小,但其用户群体多为高级技术用户,对系统控制权要求高。此次事件可能导致部分用户转向更封闭或官方审核更严格的发行版,同时也推动了 AUR 社区加强软件包签名验证和自动化安全扫描机制的发展。

总之,这是一起典型的、利用信任关系实施的复杂供应链攻击。它不仅是一次技术层面的入侵,更是对开源社区安全治理机制的一次重大考验。用户应立即采取行动检查系统,并重新评估对第三方软件包的信任策略。

相关推荐

查看原文 →discourse.ifin.network