Arch User Repository(AUR)に登録された400件を超えるパッケージが、認証情報やアクセストークンを狙うLinuxルートキットおよび情報窃取マルウェアを配布していることが明らかになりました。
オープンソースインテリジェンスコミュニティ「Independent Federated Intelligence Network(IFIN)」の報告によると、新たに登録された管理者がAURプラットフォーム上で信頼された公開者になりすまし、感染済みパッケージを配布しているとのことです。
Arch Linuxディストリビューションはパワーユーザーや開発者の間で広く使われており、インストール済みソフトウェア・ドライバー・カーネルの最新版を提供するためにAURカタログが活用されています。
AURはArchディストリビューション向けのコミュニティ管理リポジトリであり、公式リポジトリに存在しないソフトウェアのダウンロード・コンパイル・インストール手順を記述したパッケージビルドスクリプト(PKGBUILD)を収録しています。
AURはArchベースのディストリビューションにとって欠かせない存在であり、プロプライエタリアプリケーション、オープンソースソフトウェアのベータ版・ナイトリービルド、ニッチなユーティリティ、後のリリースで削除された機能を持つ旧バージョンのパッケージなどを提供しています。
ただし、審査が行われる場でははなく、脅威アクターがパッケージの所有権移転を悪用してマルウェアを配布できる可能性があります。
IFINメンバーのMichael Taggart氏によると、侵害されたパッケージには、「atomic-lockfile」という名の悪意あるnpmパッケージをダウンロード・実行するプレインストールスクリプトが仕込まれているとのことです。
独立系セキュリティ研究者のWhanos氏は、atomic-lockfileのサンプルに「deps」という名のLinux ELFペイロードが含まれており、「ルート権限が必要なeBPF(extended Berkeley Packet Filter)ルートキット機能をオプションで備えた認証情報窃取ツール」であると指摘しています。
「このマルウェアは開発者のワークステーションやビルド環境を標的としており、ブラウザおよびElectronアプリケーションのデータ、Slack、Microsoft Teams、Discord、GitHub、npm、Vault、Docker/Podman、SSH、VPN関連情報、シェル履歴、その他ローカルの開発者シークレットを狙います」とWhanos氏は報告書の中で述べています。
eBPF技術を利用することで、このマルウェアは昇格した権限でカーネル内部で動作し、ローカルプロセスを隠蔽することが可能です。
サプライチェーン管理企業のSonatypeも、AURリポジトリを標的に悪意あるnpmパッケージ「atomic-lockfile」を配布するキャンペーンに関する報告書を公開しています。ただし、こちらは異なる手法が使われていました。
Sonatypeの研究者によると、脅威アクターはAUR上で管理者不在となった少なくとも20件の孤立パッケージをハイジャックし、Arch Linuxパッケージのビルド情報を記述したBashスクリプトであるPKGBUILDファイルを改ざんしてatomic-lockfileを配布していたとのことです。
報告書によれば、攻撃者はポストインストールスクリプトを追加してnpmを呼び出し、悪意あるパッケージを取得させる仕組みを仕込んでいました。
「改ざんされたパッケージには、パッケージインストール時にnpmを呼び出してatomic-lockfileをインストールするポストインストールスクリプトが追加されています」とSonatypeは説明しています。
ただし、分析の結果、インストールされたnpmパッケージには、プロセス・ファイル・ネットワークインターフェースを隠蔽できるeBPFルートキットへの参照を含むLinux実行ファイルが含まれていることが判明しました。
さらに、このLinuxバイナリには情報窃取機能も備わっており、以下の種類の機密情報を標的としています。
- GitHub認証情報
- SSHアーティファクト
- HashiCorp Vaultトークン
- ブラウザCookieデータベース
- Slackデータ
- Discordデータ
- Microsoft Teamsデータ
- Telegramデータ
Sonatypeは、このバイナリがデータのアーカイブ化、マルチパートファイルの処理、HTTPアップロードを実行できることを確認しており、典型的なデータ窃取メカニズムに必要な機能が一通り揃っていると判断しています。
AURメンテナーたちは現在、悪意あるコミットの特定と削除、およびそれを行ったアカウントのBANに向けて取り組んでいます。
コミュニティへのメッセージの中で、Arch LinuxパッケージメンテナーのJonathan Grotelüschen氏は、ユーザーに対し、悪意あるパッケージを発見した場合は報告するよう呼びかけています。
一般的な推奨事項として、更新頻度が高く活発なコミュニティが存在するプロジェクトのみを信頼するようにしてください。
Archユーザーは影響を受けるパッケージの一覧を確認し、Whanos氏の報告書に記載された侵害の痕跡(IoC)を参照することが推奨されます。
Michael Taggart氏は、システム上のatomic-lockfileマルウェアを検出するスクリプトも紹介しています。
侵害されたパッケージが見つかった場合、すべての認証情報をローテーションし、ルートキットは通常のクリーンアップ作業では除去できない可能性があるため、Archをゼロから再インストールすることを検討してください。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが検知に成功している攻撃は54%にとどまり、アラートが発報されるのはわずか14%です。残りの攻撃は、環境内を検知されることなく侵害し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。
