新闻
News Today
6月12日,安全社区披露一起波及范围极广的供应链攻击事件:Arch Linux 用户仓库(AUR)中超过 400 个软件包被恶意篡改,用于分发 Linux Rootkit 和凭证窃取恶意软件。
攻击者通过两种路径实施投毒:一是冒充 AUR 平台上的可信维护者,修改包的预安装脚本,下载并执行恶意 npm 包 atomic-lockfile;二是劫持至少 20 个被遗弃的"孤儿包",修改 PKGBUILD 构建脚本,在 post-install 阶段调用恶意依赖。
恶意载荷为一款 Rust 编写的 ELF 二进制文件 deps,具备极强的凭据窃取能力:针对 GitHub 凭证、SSH 密钥、HashiCorp Vault 令牌、浏览器 Cookie 数据库、Slack/Discord/Teams 会话数据、npm/Docker 凭证、VPN 配置及 Shell 历史记录。在 Root 权限下,载荷还会部署基于 eBPF 技术的 Rootkit,可隐藏本地进程、文件和网络接口,常规清理操作无法将其完全清除。数据通过 HTTP 外传至 temp.sh,C2 通信经由 Tor 洋葱服务进行。
AUR 为社区维护、未经审核的仓库,且孤儿包可被任何人领养,这种信任模型缺陷使攻击得以规模化展开。安全专家建议:若曾以 Root 权限运行受影响包,应假定 Rootkit 已驻留,必须从可信介质重新安装系统,并轮换所有凭据。
此次事件再次揭示开源供应链的系统性脆弱——社区信任机制在缺乏强制审核和身份验证的情况下,可被攻击者大规模利用。对企业而言,依赖社区仓库的生产环境应建立严格的包审核与白名单机制,避免将未经验证的第三方包直接引入关键系统。
来源:BleepingComputer
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理!
安世加为出海企业提供SOC 2、ISO 27001、PCI DSS、TrustE认证咨询服务(点击图片可详细查看)
