江蘇
關鍵詞
信息竊取
近日,Arch Linux 的社區用戶軟件倉庫(AUR)遭遇了一場嚴重的供應鏈安全攻擊。據多家安全機構與開源情報社區披露,超過400個AUR軟件包被惡意篡改,用于分發針對開發者的憑證竊取器及具備Rootkit功能的惡意軟件。
AUR作為Arch Linux生態中至關重要的組成部分,為開發者提供了大量官方倉庫未收錄的專有應用、Beta版本及小眾工具。然而,由于AUR本質上是一個由社區維護的構建腳本(PKGBUILD)集合,缺乏官方的強制安全審查,這使其成為攻擊者利用“孤兒包”或維護權變更漏洞進行投毒的溫床。
攻擊手法與惡意載荷
根據獨立聯邦情報網絡(IFIN)及供應鏈管理公司Sonatype的報告,攻擊者通過劫持或偽裝成受信任的發布者,修改了軟件包的構建腳本。他們在安裝后腳本中暗中引入了一個名為atomic-lockfile的惡意 npm 包。
安全研究員分析指出,該惡意包包含一個 Linux ELF 有效載荷,專門針對開發者工作站和構建環境。其核心危害包括:
廣泛的信息竊取:惡意軟件會掃描并竊取瀏覽器Cookie、SSH密鑰、GitHub憑證、HashiCorp Vault令牌,以及Slack、Discord、Microsoft Teams、Telegram等通訊工具的會話數據。
eBPF Rootkit 功能:該載荷具備可選的 eBPF(擴展伯克利數據包過濾器)Rootkit 能力。在獲取 root 權限后,它能在內核層面運行,隱藏惡意進程、文件及網絡接口,極大地增加了檢測和清除的難度。
數據外傳:惡意二進制文件具備歸檔和多部分文件處理能力,可通過HTTP將竊取的敏感數據上傳至外部服務器。
社區響應與處置
事件曝光后,AUR維護團隊已展開緊急清理行動。Arch Linux 軟件包維護者 Jonathan Grotelüschen 表示,團隊正在努力重置或刪除所有惡意提交,并封禁相關違規賬號。同時,社區呼吁用戶積極舉報可疑軟件包,并優先信任更新頻繁、社區活躍的項目。
安全建議與補救措施
鑒于此次攻擊的隱蔽性和Rootkit的潛在危害,安全專家向Arch用戶發出以下警告:
立即排查:用戶應核對官方發布的受影響軟件包列表,并檢查系統中是否存在
atomic-lockfile惡意軟件。憑證輪換:若確認安裝了受感染的軟件包,必須立即輪換所有可能泄露的憑據、Token及密鑰。
系統重裝:由于 eBPF Rootkit 可能在常規清理中幸存,專家強烈建議受感染用戶從頭開始重新安裝 Arch Linux,以確保系統徹底凈化。
此次事件再次凸顯了開源供應鏈安全的脆弱性,即便是高度開放的社區倉庫,也可能在缺乏嚴格審核的情況下被惡意利用。用戶在享受AUR帶來的便利時,務必保持警惕,定期審查構建腳本的安全性。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
