🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os invasores assumiram o controle de mais de 400 pacotes no Arch User Repository (AUR) esta semana e reescreveram seus scripts de construção para instalar um ladrão de credenciais em qualquer máquina que os construísse.
O malware é um binário Rust criado para coletar segredos do desenvolvedor. Quando chega ao root, ele também pode carregar um rootkit eBPF para se esconder. O AUR é a coleção de pacotes da comunidade do Arch Linux e é separada dos repositórios oficiais do Arch, que não foram afetados.
Se você instalou ou atualizou um pacote AUR em ou após 11 de junho, compare-o com as listas atuais de pacotes afetados antes de confiar no host. A lista de nomes é grande, ainda crescente e ainda não completa.
Este ataque segue o modelo de confiança, não uma falha de software. Os pacotes comprometidos mantiveram seus nomes, suas histórias e a confiança que os acompanhava. Apenas as instruções de construção foram alteradas.
A armadilha estava na receita, deixando o pacote em si exatamente igual ao software que os usuários pretendiam instalar. Nenhuma exploração, nenhum dia zero e nenhum sinal de que os próprios sistemas do Arch foram violados.
Os invasores adotaram pacotes abandonados, editaram os arquivos de compilação e permitiram que os usuários executassem a carga útil para eles. A Sonatype, que batizou a campanha de Atomic Arch, descobriu que eles estavam perseguindo projetos órfãos: pacotes cujos mantenedores haviam se afastado, deixando-os abertos para qualquer um adotar.
Eles também falsificaram os metadados do git commit para que as alterações parecessem vir de um mantenedor de longa data, uma conta que um usuário confiável do Arch Linux confirmou posteriormente que nunca foi comprometida.
Depois que um pacote foi adotado, seu script PKGBUILD ou .install foi editado para executar npm install atomic-lockfile durante a construção, puxando o pacote npm malicioso junto com alguns pacotes legítimos para cobertura. Esse pacote, atomic-lockfile@1.4.2, carrega um gancho de pré-instalação que executa um pacote Linux ELF chamado deps. Construa o pacote e o binário será executado.
Exemplos confirmados relatados na lista de discussão do Arch incluem os pacotes alvr e premake-git.
O que o malware faz
O pesquisador independente Whanos fez engenharia reversa da carga útil do deps e descreve um ladrão de credenciais Rust voltado para estações de trabalho de desenvolvedores e sistemas de construção. Ele coleta:
Cookies, tokens e armazenamento local de navegadores baseados em Chromium (Chrome, Edge, Brave e muitos mais)
Dados de sessão de aplicativos Electron, incluindo Slack, Discord e Microsoft Teams
Tokens GitHub, npm e HashiCorp Vault, além de material de portador OpenAI/ChatGPT e metadados de conta
Chaves SSH, conhecidos_hosts e históricos de shell
Credenciais Docker e Podman e perfis VPN
Arquivos roubados são enviados por HTTP para temp.sh. O comando e o controle são executados por meio de um serviço Tor Onion por meio de um proxy de loopback local.
Para persistência, ele instala um serviço systemd com Restart=always. Com root ele se copia em /var/lib/ e grava uma unidade em /etc/systemd/system/; como um usuário normal, ele usa o diretório inicial e uma unidade por usuário em ~/.config/systemd/user/. De qualquer forma, ele quer voltar.
Os primeiros artigos venderam demais o rootkit eBPF. É opcional e só carrega quando o binário já tem root e a capacidade correta. Não é usado para obter privilégios. Quando ativado, ele oculta os próprios processos, nomes de processos e inodes de soquete do malware das ferramentas padrão, usando mapas BPF fixados chamados hidden_pids, hidden_names e hidden_inodes, e elimina tentativas de anexar um depurador.
Isso muda o conselho de limpeza. Remover o pacote AUR não é suficiente depois que a carga é executada. Um gerenciador de pacotes pode remover os arquivos que conhece. Ele não pode provar que a máquina está limpa depois que uma carga útil compatível com rootkit teve a chance de ser executada.
O binário também armazena um segundo arquivo vinculado ao monero-wallet-gui que a análise sinaliza como um possível criptominerador não analisado. Um rootkit eBPF instalado em um ladrão destruidor é incomum, e é por isso que vale mais do que um encolher de ombros.
Escopo e uma segunda onda
O primeiro artigo da Sonatype contou mais de 20 pacotes sequestrados. Em um dia, os rastreadores da comunidade e o tópico Arch aur-general catalogaram mais de 400, com uma lista mestre compilada usando o grep do espelho git do AUR, colocando-o em torno de 408, e listas consolidadas subindo ainda mais.
O próprio pacote atomic-lockfile npm mostrou apenas 134 downloads semanais no Socket antes de ser retirado do registro, então a exposição real é o caminho de construção do AUR em vez das instalações do npm.
Uma segunda onda usou bun install js-digest, enviado a partir de um conjunto separado de contas que os rastreadores da comunidade vinculam ao mesmo editor npm que o atomic-lockfile. Sua carga útil é um binário diferente, um ELF separado por seu hash, que a comunidade também sinalizou como malicioso.
Até onde essa onda se espalhou ainda está sendo contado. As análises iniciais listaram algumas dezenas de pacotes, enquanto pesquisas posteriores baseadas em grep do espelho AUR retornaram números muito mais altos que podem incluir rotatividade conforme commits ar
O malware é um binário Rust criado para coletar segredos do desenvolvedor. Quando chega ao root, ele também pode carregar um rootkit eBPF para se esconder. O AUR é a coleção de pacotes da comunidade do Arch Linux e é separada dos repositórios oficiais do Arch, que não foram afetados.
Se você instalou ou atualizou um pacote AUR em ou após 11 de junho, compare-o com as listas atuais de pacotes afetados antes de confiar no host. A lista de nomes é grande, ainda crescente e ainda não completa.
Este ataque segue o modelo de confiança, não uma falha de software. Os pacotes comprometidos mantiveram seus nomes, suas histórias e a confiança que os acompanhava. Apenas as instruções de construção foram alteradas.
A armadilha estava na receita, deixando o pacote em si exatamente igual ao software que os usuários pretendiam instalar. Nenhuma exploração, nenhum dia zero e nenhum sinal de que os próprios sistemas do Arch foram violados.
Os invasores adotaram pacotes abandonados, editaram os arquivos de compilação e permitiram que os usuários executassem a carga útil para eles. A Sonatype, que batizou a campanha de Atomic Arch, descobriu que eles estavam perseguindo projetos órfãos: pacotes cujos mantenedores haviam se afastado, deixando-os abertos para qualquer um adotar.
Eles também falsificaram os metadados do git commit para que as alterações parecessem vir de um mantenedor de longa data, uma conta que um usuário confiável do Arch Linux confirmou posteriormente que nunca foi comprometida.
Depois que um pacote foi adotado, seu script PKGBUILD ou .install foi editado para executar npm install atomic-lockfile durante a construção, puxando o pacote npm malicioso junto com alguns pacotes legítimos para cobertura. Esse pacote, atomic-lockfile@1.4.2, carrega um gancho de pré-instalação que executa um pacote Linux ELF chamado deps. Construa o pacote e o binário será executado.
Exemplos confirmados relatados na lista de discussão do Arch incluem os pacotes alvr e premake-git.
O que o malware faz
O pesquisador independente Whanos fez engenharia reversa da carga útil do deps e descreve um ladrão de credenciais Rust voltado para estações de trabalho de desenvolvedores e sistemas de construção. Ele coleta:
Cookies, tokens e armazenamento local de navegadores baseados em Chromium (Chrome, Edge, Brave e muitos mais)
Dados de sessão de aplicativos Electron, incluindo Slack, Discord e Microsoft Teams
Tokens GitHub, npm e HashiCorp Vault, além de material de portador OpenAI/ChatGPT e metadados de conta
Chaves SSH, conhecidos_hosts e históricos de shell
Credenciais Docker e Podman e perfis VPN
Arquivos roubados são enviados por HTTP para temp.sh. O comando e o controle são executados por meio de um serviço Tor Onion por meio de um proxy de loopback local.
Para persistência, ele instala um serviço systemd com Restart=always. Com root ele se copia em /var/lib/ e grava uma unidade em /etc/systemd/system/; como um usuário normal, ele usa o diretório inicial e uma unidade por usuário em ~/.config/systemd/user/. De qualquer forma, ele quer voltar.
Os primeiros artigos venderam demais o rootkit eBPF. É opcional e só carrega quando o binário já tem root e a capacidade correta. Não é usado para obter privilégios. Quando ativado, ele oculta os próprios processos, nomes de processos e inodes de soquete do malware das ferramentas padrão, usando mapas BPF fixados chamados hidden_pids, hidden_names e hidden_inodes, e elimina tentativas de anexar um depurador.
Isso muda o conselho de limpeza. Remover o pacote AUR não é suficiente depois que a carga é executada. Um gerenciador de pacotes pode remover os arquivos que conhece. Ele não pode provar que a máquina está limpa depois que uma carga útil compatível com rootkit teve a chance de ser executada.
O binário também armazena um segundo arquivo vinculado ao monero-wallet-gui que a análise sinaliza como um possível criptominerador não analisado. Um rootkit eBPF instalado em um ladrão destruidor é incomum, e é por isso que vale mais do que um encolher de ombros.
Escopo e uma segunda onda
O primeiro artigo da Sonatype contou mais de 20 pacotes sequestrados. Em um dia, os rastreadores da comunidade e o tópico Arch aur-general catalogaram mais de 400, com uma lista mestre compilada usando o grep do espelho git do AUR, colocando-o em torno de 408, e listas consolidadas subindo ainda mais.
O próprio pacote atomic-lockfile npm mostrou apenas 134 downloads semanais no Socket antes de ser retirado do registro, então a exposição real é o caminho de construção do AUR em vez das instalações do npm.
Uma segunda onda usou bun install js-digest, enviado a partir de um conjunto separado de contas que os rastreadores da comunidade vinculam ao mesmo editor npm que o atomic-lockfile. Sua carga útil é um binário diferente, um ELF separado por seu hash, que a comunidade também sinalizou como malicioso.
Até onde essa onda se espalhou ainda está sendo contado. As análises iniciais listaram algumas dezenas de pacotes, enquanto pesquisas posteriores baseadas em grep do espelho AUR retornaram números muito mais altos que podem incluir rotatividade conforme commits ar
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mais #de #400 #pacotes #arch #linux #aur #sequestrados #para #implantar #infostealer #e #ebpf #rootkit
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário