Giriş
Geçtiğimiz hafta, Arch User Repository (AUR) üzerinde 400’den fazla paket ele geçirildi ve bu paketlerin yapılandırma betikleri, kullanıcıların bilgisayarlarında yetkisiz bir credential stealer yükleyecek şekilde değiştirildi. Bu tür saldırılar, yazılım açıklarından ziyade güven modelini hedef alması nedeniyle büyük bir tehlike arz ediyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, terkedilmiş paketleri sahiplenerek, yapılandırma dosyalarını düzenlediler ve kullanıcıların kendilerinin çalıştırmasını sağladılar. Sonatype tarafından “Atomic Arch” olarak adlandırılan bu kampanyada, malwaresız gibi görünen bir yapı ile gerçekten zararlı olan bir yük, beraberinde getiriliyordu. Örneğin:
- Paketler, isimlerini ve geçmişlerini korudular, sadece yapılandırma talimatları değişti.
- Saldırganlar, yükleme sürecine npm install atomic-lockfile komutunu ekleyerek, gizli bir ikili dosyanın yüklenmesini sağladı.
Saldırının başarılı olmasının nedeni, AUR’un bir paketin adı ve geçmişine olan güvenidir. Kullanıcılar, kötü niyetli değişikliklerin bu güven modelini aşmasına izin verdi.
Etkilenen Sistemler
Etkilenen sistemler şunlardır:
- Arch Linux kullanıcıları, özellikle AUR üzerinden paket yükleyenler.
- Geliştirici istasyonları ve otomasyon sistemleri.
- Giriş bilgileri, oturum verileri ve çeşitli API anahtarları gibi hassas bilgilere sahip bilgisayarlar.
Etkilenen bazı paketler arasında alvr ve premake-git yer almaktadır.
Malware’nin Özellikleri
Zarar veren yazılım, geliştiricilerin gizli bilgilerini toplamak için tasarlanmış bir Rust ikilisi. Topladığı veriler arasında:
- Çerezler, belirteçler ve yerel depolama verileri (Chromium tabanlı tarayıcılar için)
- Electron uygulamalarından oturum verileri (Slack, Discord, Microsoft Teams vb.)
- GitHub, npm ve HashiCorp Vault belirteçleri
- SSH anahtarları, bilinen anahtarlar ve kabuk geçmişleri
- Docker ve Podman kimlik bilgileri ile VPN profilleri
Kayıp dosyalar HTTP üzerinden dışarı gönderilmektedir ve komut kontrol işlemleri Tor onion servisi aracılığıyla gerçekleştirilir.
Çözüm ve Korunma
Arch Linux yöneticileri, kötü niyetli commit’leri iptal etmeye ve kullanıcılardan şüpheli paketleri raporlamalarını istemeye başladılar. Bu aşamada yapılması gerekenler:
- 11 Haziran’dan itibaren yüklenmiş veya güncellenmiş AUR paketlerini topluluk paket listelerindeki bilinen kötü paketlerle kontrol edin.
- Eğer bir kötü niyetli paket çalıştıysa, bu host’un kredi bilgileri compromised olarak alın.
- Sistemde mevut olmayan systemd servislerini ve beklenmeyen dosyaları kontrol edin.
- Paket root olarak çalıştıysa, rootkit’in mevcut olduğunu varsayın ve güvenilir bir medya ile yeniden yükleme yapın.
- PKGBUILD ve .install çekirdeklerini okumadan herhangi bir paket yüklemeyin.
Ayrıca, ana yüklemenin SHA-256 değeri şu şekildedir: 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b.
Saldırı, daha önce terkedilmiş projelerin kötüye kullanılması şeklinde hazırlanmış bir model ile gerçekleştirildi. Bu yüzden, kullanıcıların yeni yükleme yaparken daha dikkatli olmaları gerekiyor.
