کمیته رکن چهارم – پژوهشگران امنیت سایبری از یک حمله گسترده به مخزن جامعهمحور Arch User Repository (AUR) خبر دادهاند که در جریان آن مهاجمان کنترل بیش از ۴۰۰ بسته را به دست گرفته و آنها را برای توزیع بدافزار سرقت اطلاعات دستکاری کردهاند.
به گزارش کمیته رکن چهارم، این حمله که با نام Atomic Arch ردیابی میشود، مخازن رسمی Arch Linux را تحت تأثیر قرار نداده اما کاربران AUR را هدف قرار داده است. مهاجمان با تصاحب بستههای رهاشده و تغییر فایلهای ساخت، کدی را به فرآیند نصب اضافه کردند که در نهایت یک بدافزار مبتنی بر Rust را روی سیستم قربانی اجرا میکند.
بررسیها نشان میدهد بدافزار مذکور قادر به سرقت اطلاعات حساسی مانند توکنهای GitHub، کلیدهای SSH، اعتبارنامههای npm، اطلاعات Docker، دادههای مرورگرها و برنامههایی مانند Slack، Discord و Microsoft Teams است. همچنین در صورت اجرا با دسترسی root، امکان فعالسازی یک روتکیت مبتنی بر eBPF برای مخفیسازی فعالیتهای مخرب وجود دارد.
به گفته پژوهشگران، این حمله از هیچ آسیبپذیری فنی یا روز-صفر استفاده نکرده و صرفاً مدل اعتماد AUR را هدف قرار داده است. بستههای آلوده ظاهر و سابقه اصلی خود را حفظ کردهاند و همین موضوع تشخیص آلودگی را برای کاربران دشوار کرده است.
تحلیلگران هشدار دادهاند کاربرانی که از ۱۱ ژوئن ۲۰۲۶ به بعد بستهای را از AUR نصب یا بهروزرسانی کردهاند باید سیستم خود را بررسی کرده و تمامی اعتبارنامههای حساس از جمله کلیدهای SSH، توکنهای GitHub و اطلاعات دسترسی سرویسهای ابری را تغییر دهند.
این رخداد نمونه دیگری از افزایش حملات زنجیره تأمین در اکوسیستم متنباز محسوب میشود؛ حملاتی که در آن مهاجمان به جای نفوذ مستقیم به قربانیان، از اعتماد کاربران به پروژههای معتبر برای انتشار بدافزار و سرقت اطلاعات استفاده میکنند.
منبع: The Hacker News
