Хакери заразили понад 1500 пакетів у AUR, щоб викрасти ключі розробників

Масштабна атака, яку дослідники охрестили Atomic Arch, не зажадала від хакерів геніальних уразливостей чи зламу серверів дистрибутива. Зловмисники скористалися банальною лінню спільноти, взявши під опіку закинуті пакети в репозиторії AUR. Вони просто оновили інструкції зі збірки, додавши туди приховане завантаження шкідливої залежності з реєстру npm.

Під капотом цієї схеми ховався потужний стилер, написаний мовою Rust. Щойно наївний розробник запускав встановлення програми, цей софт починав тотальну зачистку системи, вигрібаючи паролі з браузерів на базі Chromium, активні сесії Slack, Discord та Microsoft Teams, а також найцінніше — ключі до GitHub, токени OpenAI та конфіги Docker.

Для надійності вірус створював фонову службу в системному менеджері, яка автоматично перезапускалася після перезавантаження. Більше того, за наявності root-прав шкідник завантажував спеціальний руткіт на базі eBPF, який повністю маскував його процеси від стандартних утиліт моніторингу. Звичайне видалення пакету тут уже не допоможе — потерпілим доведеться повністю перевстановлювати систему та негайно перевипускати всі ключі доступу.

Ця криза є лише частиною глобального шторму в опенсорс-спільноті, де нещодавно жертвами подібних атак стали десятки пакетів від Red Hat, а корпорації Microsoft довелося терміново блокувати власні репозиторії на GitHub через загрозу витоку кодів.

Концепція дистрибутивів, де кожен збирає систему сам з палиць та ентузіазму, виглядає чудово лише до першого зіткнення з суворою реальністю. Коли навіть професійні айтівці лінуються перевіряти чужий код перед запуском з правами суперкористувача, кібербезпека перетворюється на звичайну лотерею.

Джерело: Sonatype