Lebih dari 400 paket di Arch User Repository (AUR) mendistribusikan rootkit Linux dan malware infostealer yang menargetkan kredensial dan token akses.
Laporan dari komunitas intelijen sumber terbuka Jaringan Intelijen Federasi Independen (IFIN) mencatat bahwa pengelola baru memalsukan penerbit tepercaya di platform AUR untuk mengirimkan paket yang terinfeksi.
Distribusi Arch Linux populer di kalangan pengguna tingkat lanjut dan pengembang, menggunakan katalog AUR untuk menyediakan versi terbaru untuk perangkat lunak, driver, dan kernel yang diinstal.
AUR adalah repositori yang dikelola komunitas untuk distribusi Arch yang berisi skrip pembuatan paket (PKGBUILD) dengan instruksi untuk mengunduh, mengompilasi, dan menginstal perangkat lunak yang tidak tersedia di repositori resmi Arch.
AUR dianggap penting untuk setiap distribusi berbasis Arch karena berisi aplikasi berpemilik, perangkat lunak sumber terbuka versi beta/malam, utilitas khusus, dan paket versi lama yang mempertahankan fungsionalitas yang mungkin telah dihapus di rilis selanjutnya.
Namun, ini bukanlah ruang yang diperiksa dan pelaku ancaman dapat memanfaatkannya mendorong malware melalui paket yang mengubah kepemilikan tanpa ada yang menyadarinya.
Menurut anggota IFIN Michael Taggart, itu paket yang dikompromikan diubah dengan skrip pra-instal yang mengunduh dan mengeksekusi paket npm berbahaya yang disebut atom-lockfile.
Peneliti keamanan independen Whanos mencatat bahwa salah satu sampel dari atom-lockfile menyertakan muatan ELF Linux bernama deps, yang merupakan “pencuri kredensial dengan eBPF khusus root opsional [extended Berkeley Packet Filter] kemampuan rootkit.”
“Ini dirancang untuk stasiun kerja pengembang dan lingkungan pembangunan. Ini menargetkan data browser dan aplikasi Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, materi VPN, riwayat shell, dan rahasia pengembang lokal lainnya,” kata Whanos dalam laporan.
Dengan hadirnya teknologi eBPF, malware dapat berjalan di dalam kernel dengan hak istimewa yang lebih tinggi dan menyembunyikan proses lokal.
Perusahaan manajemen rantai pasokan Sonatype juga menerbitkan laporan tentang kampanye yang menargetkan repositori AUR dan mengirimkan paket npm file kunci atom yang berbahaya, tetapi menggunakan metode yang berbeda.
Peneliti Sonatype mengatakan bahwa pelaku ancaman membajak setidaknya 20 paket yatim piatu di AUR dan mendorong file pengunci atom dengan memodifikasi file PKGBUILD – skrip Bash dengan informasi build yang dibutuhkan oleh paket Arch Linux.
Menurut laporan tersebut, penyerang menambahkan skrip pasca-instal untuk memanggil npm dan mengambil paket berbahaya.
“Paket yang dimodifikasi menambahkan skrip pasca-instalasi yang memanggil npm dan menginstal file kunci atom selama instalasi paket,” kata Sonatype.
Namun, analisis menunjukkan bahwa paket npm menginstal Linux yang dapat dieksekusi dengan referensi ke rootkit eBPF yang dapat menyembunyikan proses, file, dan antarmuka jaringan.
Selain itu, biner Linux menunjukkan bahwa ia memiliki fungsi infostealer, yang menargetkan jenis informasi sensitif berikut:
- Kredensial GitHub
- Artefak SSH
- Token Gudang HashiCorp
- Basis data cookie browser
- Data kendur
- Data perselisihan
- Data Tim Microsoft
- data telegram
Sonatype menetapkan bahwa biner dapat mengarsipkan data, menangani file multi-bagian, dan melakukan pengunggahan HTTP, sehingga terdapat fungsionalitas untuk mekanisme eksfiltrasi yang umum.
Pengelola AUR berupaya mengidentifikasi dan menghapus semua komitmen jahat, dan melarang akun yang mendorongnya.
Dalam pesannya kepada komunitas, pengelola paket Arch Linux Jonathan Grotelüschen mendesak pengguna untuk melaporkan paket berbahaya apa pun yang mereka temukan.
Sebagai aturan umum, disarankan untuk hanya memercayai proyek yang sering diperbarui dan memiliki komunitas aktif di sekitarnya.
Pengguna Arch disarankan untuk meninjau daftar paket yang terpengaruh dan mencari indikator kompromi yang disediakan di laporan dari Whanos.
Michael Taggart juga menunjuk pada naskah itu memeriksa malware atom-lockfile pada sistem.
Jika paket yang disusupi ditemukan, pengguna harus merotasi semua kredensial dan mempertimbangkan untuk menginstal ulang Arch dari awal, karena rootkit mungkin dapat bertahan dari upaya pembersihan normal.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
