الوكاد
أكثر من 400 حزمة في مستودع AUR لنظام Arch Linux تنشر برمجيات خبيثة وروتكيت
برمجيات خبيثة وفديةحرج

أكثر من 400 حزمة في مستودع AUR لنظام Arch Linux تنشر برمجيات خبيثة وروتكيت

BleepingComputer2 دقائق قراءة

باختصار

  • اكتُشف اختراق أكثر من 400 حزمة في مستودع AUR الخاص بتوزيعة Arch Linux لتوزيع برمجيتَي روتكيت وسرقة بيانات.
  • تعتمد البرمجية الخبيثة على حزمة npm تُدعى atomic-lockfile تُثبَّت عبر سكريبتات ما قبل وبعد التثبيت، وتسرق بيانات المتصفحات وبيانات التطوير وأسرار SSH وغيرها.
  • يُنصح المستخدمون المتضررون بتدوير جميع بيانات الاعتماد وإعادة تثبيت النظام بالكامل نظراً لقدرة الروتكيت على الصمود أمام محاولات الإزالة العادية.

ماذا حدث

كشف باحثون من شبكة الاستخبارات المفتوحة المستقلة (IFIN) ومن شركة Sonatype المتخصصة في إدارة سلسلة التوريد البرمجية، أن أكثر من 400 حزمة داخل مستودع مستخدمي Arch المجتمعي المعروف بـ AUR (Arch User Repository) وقعت ضحيةً لحملة تسمم ممنهجة، تضمّنت نشر برمجية سرقة بيانات (Infostealer) وأداة روتكيت (Rootkit) تستند إلى تقنية المرشّح المُوسَّع لحزم بيانات النواة (eBPF).

التفاصيل

وفق التقرير، اعتمد المهاجمون على أسلوبَين متوازيَّين للتسلل: الأول هو انتحال هوية ناشر موثوق على منصة AUR لرفع حزم مصابة، والثاني هو الاستيلاء على حزم «يتيمة» لا يملكها مشرف نشط، إذ رصد باحثو Sonatype استيلاء الجهة المهاجمة على ما لا يقل عن 20 حزمة من هذا النوع.

في كلتا الحالتين، جرى تعديل ملف PKGBUILD الخاص بكل حزمة — وهو سكريبت Bash يحتوي على تعليمات البناء والتثبيت — بإضافة سكريبتات تعمل قبل التثبيت أو بعده، تقوم باستدعاء أداة npm لتنزيل حزمة خبيثة تحمل اسم atomic-lockfile وتنفيذها تلقائياً.

تحليل عيّنات atomic-lockfile أظهر أنها تُنزّل ملف تنفيذي بصيغة ELF لنظام Linux يُسمى deps، يجمع بين وظيفتين: سرقة بيانات الاعتماد، وإمكانية تفعيل روتكيت يعمل داخل نواة النظام عبر تقنية eBPF بصلاحيات مرتفعة، مما يتيح له إخفاء العمليات والملفات وواجهات الشبكة عن أدوات المراقبة المعتادة.

تشمل البيانات المستهدفة: بيانات اعتماد GitHub، ومفاتيح SSH، ورموز HashiCorp Vault، وقواعد بيانات ملفات تعريف الارتباط في المتصفحات، فضلاً عن بيانات تطبيقات Slack وDiscord وMicrosoft Teams وTelegram، إلى جانب سجلات الأوامر وأسرار بيئات Docker وPodman ومديري حزم npm. والجدير بالذكر أن الملف التنفيذي يدعم أرشفة البيانات ورفعها عبر HTTP في آلية تسريب متكاملة.

لماذا يهمّك

يُعدّ AUR ركيزةً أساسية في منظومة Arch Linux، إذ يوفّر آلاف التطبيقات والأدوات غير المتاحة في المستودعات الرسمية، ويعتمد عليه المطورون وفرق هندسة البنية التحتية على نطاق واسع. غياب آلية فحص مركزية صارمة يجعله بيئةً خصبة لهجمات سلسلة التوريد (Supply Chain Attacks)، حيث يكفي تعديل حزمة واحدة للوصول إلى أجهزة آلاف المستخدمين.

يستهدف هذا التهديد تحديداً بيئات عمل المطورين، مما يعني أن نجاح الاختراق قد يمنح المهاجمين وصولاً إلى مستودعات أكواد، وبيئات سحابية، وأنظمة إنتاجية بأكملها.

توصيات

حثّ مشرف حزم Arch Linux جوناثان غروتيلوشن المستخدمين على الإبلاغ الفوري عن أي حزمة مشبوهة. ويوصي الباحثون بما يلي:

  • مراجعة قائمة الحزم المتضررة والتحقق من مؤشرات الاختراق (IoCs) المنشورة في تقرير الباحث Whanos.
  • تشغيل السكريبت الذي أتاحه الباحث Michael Taggart للكشف عن وجود atomic-lockfile على النظام.
  • تدوير جميع بيانات الاعتماد فور اكتشاف الإصابة.
  • إعادة تثبيت النظام من الصفر عند الاشتباه بوجود روتكيت، لأن أدوات الإزالة الاعتيادية قد لا تكون كافية.
  • الاقتصار على حزم ذات سجل تحديث نشط ومجتمع مستخدمين فاعل.
#Arch Linux#AUR#rootkit#infostealer#eBPF#supply chain#npm#atomic-lockfile#Linux security#developer security

مقالات ذات صلة