Sonatype’ın Arch Linux’daki Tehlikeli Saldırısı
Siber güvenlik dünyasında son günlerde dikkat çeken bir gelişme, Arch User Repository (AUR) üzerinde gerçekleştirilen büyük bir saldırıdır. Saldırganlar, AUR’de yer alan 400’den fazla paketi ele geçirerek, bu paketlerin yapılandırma dosyalarını değiştirerek bir kimlik bilgisi hırsızını herhangi bir makinaya yüklediler.
Saldırı Nasıl Çalışıyor?
Saldırganlar, terkedilmiş paketleri benimseyerek, bu paketlerin yapı dosyalarını düzenlediler ve npm install atomic-lockfile komutunu ekleyerek kötü amaçlı yazılımı kullanıcılar tarafından çalıştırdılar. [email protected] sürümündeki paket, yapı sırasında bir Linux ELF dosyası olan deps‘i yükleyen bir ön yükleme işlevi içeriyor.
Etkilenen Sistemler
Bu saldırı özellikle AUR üzerinden indirilen yazılımları etkiledi. CVE kodu atanmasa da, saldırıda 408’e kadar paket tespit edildi. AUR, Arch Linux’un topluluk paket bileşenidir ve resmi Arch havuzlarından ayrı olarak çalışır; bu nedenle, resmi depo etkilenmemiştir.
Malware Nedir ve Ne Yapar?
Bağımsız bir araştırmacı Whanos, kötü amaçlı yazılımın bir Rust kimlik bilgisi hırsızı olduğunu belirledi. Bu yazılım, aşağıdaki verileri toplamaktadır:
- Chromium tabanlı tarayıcılardan (Chrome, Edge, Brave vb.) çerezler, token’lar ve yerel depolama verileri.
- Slack, Discord ve Microsoft Teams gibi Electron uygulamalarından oturum verileri.
- GitHub, npm, HashiCorp Vault token’ları ile OpenAI/ChatGPT hesap bilgileri.
- SSH anahtarları, bilinen anahtarlar ve shell geçmişi.
- Docker ve Podman kimlik bilgileri ile VPN profilleri.
Çalınan veriler, HTTP üzerinden temp.sh adresine gönderilmektedir. Malicious command and control, bir Tor onion servisi üzerinden çalışmaktadır.
Çözüm ve Korunma
Arch geliştiricileri, kötü amaçlı commit’leri geri alıyor ve kullanıcıları şüpheli paketleri bildirmeye teşvik ediyor. Aşağıdaki adımları izleyerek kendinizi koruyabilirsiniz:
- 11 Haziran’dan itibaren yükleyip güncellediğiniz AUR paketlerini topluluk paket listeleriyle kontrol edin.
- Eğer şüpheli bir paket çalıştıysa, sisteminizi kimlik bilgileri hırsızı tarafından etkilenmiş olarak değerlendirin ve tüm ilgili verilerinizi güncelleyin.
- Belirli sistemd hizmetlerini ve beklenmeyen dosyaları kontrol edin; `/var/lib/` altında ve `/sys/fs/bpf/` dizinlerinde gizli haritalar arayın.
- Eğer paketi root olarak çalıştırdıysanız, rootkit’in var olduğunu varsayarak güvenilir medyadan sistemi yeniden yükleyin.
- Paketleri inşa etmeden önce PKGBUILD ve .install dosyalarını kontrol edin; anlamadığınız talimatlara sahip paketleri yüklemeyin.
Hedef alınan paketlerin SHA-256 hash’ı 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b’dir. Bu tür bir saldırı, daha önce terkedilmiş projelerin kötüye kullanılmasıyla siber güvenlik bağlamında ardışık bir tehdit oluşturduğu için dikkatlice izlenmelidir.
Sonuç olarak, kullanıcıların, AUR’deki paket isimlerine ve geçmişlerine güvenmek yerine, bakımında değişiklik gören paketlere karşı daha fazla önlem almaları gerekmektedir.
