کمیته رکن چهارم – مهاجمان با تصاحب صدها بسته در مخزن Arch User Repository (AUR) موفق شدند بدافزاری مبتنی بر Rust را در اختیار کاربران قرار دهند؛ بدافزاری که برای سرقت اطلاعات حساس توسعهدهندگان طراحی شده است.
به گزارش کمیته رکن چهارم، این حمله که با نام Atomic Arch ردیابی میشود، بیش از ۴۰۰ بسته AUR را تحت تأثیر قرار داده است. مهاجمان با تصاحب بستههای رهاشده و تغییر فایلهای نصب، کد مخربی را به فرآیند Build اضافه کردند که هنگام نصب بستهها اجرا میشد.
بررسیها نشان میدهد بدافزار قادر به سرقت کوکیها، توکنهای احراز هویت، کلیدهای SSH، اطلاعات GitHub، npm، Docker، HashiCorp Vault، حسابهای OpenAI و دادههای برنامههایی مانند Slack، Discord و Microsoft Teams است.
این بدافزار همچنین برای ماندگاری روی سیستم، سرویسهای systemd ایجاد میکند و در صورت اجرا با دسترسی root میتواند یک روتکیت eBPF بارگذاری کند تا فعالیتهای خود را از دید ابزارهای امنیتی پنهان سازد.
کارشناسان تأکید کردهاند این رخداد تنها مخزن AUR را تحت تأثیر قرار داده و مخازن رسمی Arch Linux آلوده نشدهاند. با این حال، به کاربرانی که از ۱۱ ژوئن ۲۰۲۶ به بعد بستهای از AUR نصب یا بهروزرسانی کردهاند توصیه شده است تمامی اعتبارنامههای حساس خود را تغییر داده و سیستم را از نظر وجود سرویسهای مشکوک و نشانههای آلودگی بررسی کنند.
این حادثه یکی از بزرگترین حملات زنجیره تأمین علیه کاربران Arch Linux محسوب میشود و بار دیگر خطر تصاحب پروژههای رهاشده و سوءاستفاده از اعتماد کاربران در اکوسیستم متنباز را نشان میدهد.
منبع: The Hacker News
