Arch Linux’ta Tehdit: Malicious Paketler ve CHAOS RAT
Son dönemde, Arch Linux kullanıcıları için önemli bir güvenlik açığı ortaya çıktı. Arch User Repository (AUR)‘da yer alan üç kötü amaçlı paket, kullanıcıların cihazlarına CHAOS uzaktan erişim truva atı (RAT) yüklemek için kullanıldı. Bu paketler “librewolf-fix-bin,” “firefox-patch-bin” ve “zen-browser-patched-bin” isimleriyle tanımlandı ve aynı kullanıcı tarafından, yani “danikpapas” takma adıyla, 16 Temmuz’da yüklendi.
Kötü Amaçlı Paketlerin Tespiti ve Kaldırılması
Arch Linux ekibi, bu paketler topluluk tarafından zararlı olarak işaretlendikten iki gün sonra, 18 Temmuz’da bu kötü amaçlı paketleri kaldırdı. AUR yöneticileri, “16 Temmuz akşamı, UTC+2 saat diliminde kötü amaçlı bir AUR paketi yüklendi. Aynı kullanıcı birkaç saat içinde iki başka paket daha yükledi,” şeklinde bir uyarı yayınladı. Kullanıcıların dikkatli olmaları gerektiğini vurgulayan bu uyarı, toplulukta büyük bir tepki uyandırdı.
AUR Nedir ve Nasıl Çalışır?
AUR, Arch Linux kullanıcılarının PKGBUILD (paket oluşturma betiği) dosyalarını paylaşmasına olanak tanıyan bir depodur. Bu dosyalar, işletim sisteminde yer almayan yazılımların indirilecek, derlenecek ve yüklenmesini otomatikleştirmek içindir. Ancak, birçok diğer paket deposunda olduğu gibi, AUR’da yeni veya güncellenmiş paketler için bir format inceleme süreci mevcut değildir. Bu durum, kullanıcıların kodu ve yükleme betiklerini inceleyip değerlendirmesini gerektirir.
Paketlerin İçeriği ve Kötü Amaçlı Kod
BleepingComputer, tüm paketlerin arşivlenmiş kopyalarını buldu ve bu üç paket, 16 Temmuz’da UTC saatine göre 18:46‘da yüklenmişti. Her pakette, PKGBUILD dosyasında saldırganın kontrolü altında olan bir GitHub deposuna yönlendiren “patches” isimli bir kaynak girişi vardı: https://github.com/danikpapas/zenbrowser-patch.git.
BUILDPKG işlendiğinde, bu depo kopyalanıyor ve paketin yamanma ve oluşturma sürecinin parçası olarak işleniyordu. Ancak bu GitHub deposu, meşru bir yamanın yerine kötü amaçlı kod içeriyordu. Yapı veya yükleme aşamasında bu kötü amaçlı kod çalıştırılıyordu.
Reddit Üzerinden Yayılım ve İnceleme
Bu süreçte, Reddit’te bazı kullanıcılar saldırgan tarafından yayılan bu paketleri tanıtan yorumlar gördü. Görünüşe göre uzun zamandır etkin olmayan bir hesap, bu yorumları paylaşmak üzere ele geçirilmişti. Arch Linux kullanıcıları, bu yorumları şüpheli buldu ve bir komponenti VirusTotal‘a yükleyerek bunun CHAOS RAT adı verilen Linux kötü amaçlı yazılımı olduğunu tespit etti.
CHAOS RAT ve Tehditleri
CHAOS RAT, hem Windows hem de Linux için açık kaynaklı bir uzaktan erişim truva atıdır. Bu yazılım, dosya yükleme ve indirme, komut çalıştırma ve geri dönüş kabuğu açma işlemlerini gerçekleştirebilir. Kötü niyetli kullanıcılar, enfekte olmuş bir cihaza tam erişime sahip olurlar. Malware yüklendikten sonra, saldırganın kontrol sunucusuna (C2 sunucusu) sürekli bağlantı kurarak bekleyen komutları yürütmeye hazır hale gelir. Bu kampanyada, C2 sunucusu 130.162[.]225[.]47:8080 adresinde yer alıyordu.
Kötü Amaçlı Yazılıma Maruz Kalanlar Ne Yapmalı?
Bu kötü amaçlı yazılım, genellikle kripto para madenciliği kampanyalarında kullanılmasına rağmen, aynı zamanda kimlik bilgilerini toplamak, veri çalmak veya siber casusluk gibi amaçlar için de kullanılmaktadır.
Arch Linux ekibi, bu paketleri yükleyen kullanıcıların derhal sistemlerinden kaldırmalarını ve olası bir tehlikenin önüne geçmek için gerekli önlemleri almaları gerektiğini belirtti. Kullanıcıların, bilgisayarlarında /tmp klasöründe bulunan “systemd-initd” isimli şüpheli bir yürütücü dosyası olup olmadığını kontrol etmeleri ve bulmaları halinde bunu silmeleri önerilmektedir.
Bu olay, Arch Linux topluluğu için önemli bir uyarı niteliğindedir. Kullanıcıların dikkatli olmaları ve her zaman yükledikleri yazılımları iyice incelemeleri gerekmektedir. Güvenli bir kullanıcı deneyimi için, dikkatli ve bilinçli bir şekilde hareket etmek kritik öneme sahiptir.
