Arch Linuxは月曜日、進行中のサプライチェーン攻撃の一環として大量の悪意あるパッケージが公開されたことを受け、Arch User Repository(AUR)への新規アカウント登録を一時停止すると発表しました。
AURはコミュニティ主導のリポジトリで、公式リポジトリに収録されていないソフトウェアのビルドスクリプト(PKGBUILD)をArch Linuxユーザーが共有できる仕組みです。ローカルでクローンしてネイティブパッケージをビルドすることができます。
Atomic Archとしてサイバーセキュリティコミュニティが追跡しているこのサプライチェーンキャンペーンは先週始まり、6月11日までに1,500件を超える悪意あるパッケージが公開されました。
「既存の悪意あるコミットの追跡と、追加の悪意あるコミットのプッシュ防止に積極的に取り組んでいます」と、Arch Linuxは金曜日に発表しました。月曜日にはクリーンアップを目的として、AURへの新規登録を停止しています。
Sonatypeによると、このキャンペーンはAUR上の放棄されたパッケージを起点としており、インストール時に悪意あるNPMパッケージが実行されるよう改ざんされていました。6月12日になると、攻撃者はBunベースのインストールパスに切り替えるとともに、新たな悪意あるパッケージの公開も開始しました。
攻撃者は、かつて正規に使用されていたオーファン(孤立)パッケージを標的にすることで、攻撃の影響範囲を意図的に拡大させました。
AxiosのNPMパッケージへのサプライチェーン攻撃と類似した手口で、ハッカーたちはパッケージのPKGBUILDを改ざんし、atomic-lockfileというNPMパッケージを装った悪意ある動作を仕込みました。
Atomic Arch攻撃においてパッケージのインストール中に実行されるLinux実行ファイルは、eBPF(extended Berkeley Packet Filter)を参照しています。これはLinuxカーネル内でプログラムを高い権限で動作させる技術であり、おそらく永続化を目的として悪用されているとみられます。
Sonatypeはさらに、プロセス・ファイル・ネットワークの隠蔽、Linuxソケット診断インターフェース、デバッガ検出、HTTPアップロードに関連する機能も確認しています。
このルートキット的なマルウェアは、認証情報、SSHアーティファクト、HashiCorp Vaultトークン、ブラウザのCookie、人気のコラボレーションアプリのデータストアも参照しており、認証情報やシークレット情報の窃取・流出を目的として設計されていることがうかがえます。
「高い権限で実行された場合、マルウェアはeBPFベースの永続化を試み、プロセスやファイルのアクティビティを隠蔽するため、検出とクリーンアップが著しく困難になります。侵害されたホストは完全に信頼できないものとして扱うべきです。クリーンなメディアから再構築し、露出したすべての認証情報をローテーションしてください。マルウェアスキャンを一度実施するだけでは不十分です」と、StepSecurityは警告しています。
翻訳元: https://www.securityweek.com/atomic-arch-supply-chain-attack-hits-1500-aur-packages/
