Зафиксирована массовая компрометация пакетов в репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 469 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступ с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр.
Атакующие взяли на себя сопровождение пакетов, имеющих статус «orphaned» и оставшихся без сопровождающих. В качестве имени указывалось имя последнего сопровождающего, но другой email, после чего добавлялся один коммит и публиковалось обновление. Коммит добавлял «npm» в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile, содержащий скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.
После активации вредоносное ПО закреплялось в системе в виде сервиса systemd со случайным именем и при выполнении камуфлировалось под поток ядра. При запуске с правами root сервис создавался на системном уровне (/etc/systemd/system) и дополнительно активировал работающий на уровне ядра rootkit, а при выполнением с правами пользователя — запускался от имени пользователя (~/.config/systemd/user). Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.
מקור: opennet.ru
