66 66必读
安全攻防 morning

超过 400 个 Arch Linux AUR 劫持用于部署信息窃取器与 eBPF rootkit

2026-06-15 1 阅读 FreeBuf
逾400个Arch Linux AUR软件包遭劫持用于部署信息窃取器与eBPF rootkit 关注 系统安全 逾400个Arch Linux AUR软件包遭劫持用于部署信息窃取器与eBPF rootkit 2026-06-13 01:03:25 所属地 上海 攻击者本周控制了Arch用户软件仓库(AUR)中400余个软件包,通过篡改构建脚本在编译主机上植入凭证窃取程序。该恶意程序为Rust编写的二进制文件,主要窃取开发者机密信息。当获取root权限时,还会加载eBPF rootkit实现自我隐藏。AUR作为Arch Linux的社区软件集合,独立于官方软件仓库,后者未受影响。 若您在6月11日或之后安装/更新过AUR软件包,请对照当前受影响软件列表进行核查。已知名单规模庞大且持续增加,目前尚未完整。此次攻击针对信任模型而非软件漏洞——被劫持软件包保留原有名称、历史记录及既有信任关系,仅构建指令遭篡改。陷阱隐藏在构建方案中,使得软件包外观与用户预期安装的完全一致,既非漏洞利用也非0Day攻击,且无证据表明Arch官方系统遭入侵。 攻击者通过接管废弃软件包并修改构建文件,诱使用户代为执行恶意负载。Sonatype公司将此次行动命名为"Atomic Arch",发现攻击者专门针对"孤儿项目"(即维护者已弃管的软件包)。他们还伪造git提交元数据,使修改看似来自长期维护者(后经Arch Linux可信用户确认该账户从未失陷)。 恶意软件行为分析 独立研究员Whanos逆向分析发现,deps负载实为针对开发者工作站和构建系统的Rust凭证窃取器,可收集: 基于Chromium的浏览器(Chrome/Edge/Brave等)的Cookie、令牌及本地存储 Electron应用(含Slack/Discord/Microsoft Teams)的会话数据 GitHub/npm/HashiCorp Vault令牌,以及OpenAI/ChatGPT的持有者凭证与账户元数据 SSH密钥、known_hosts文件及shell历史记录 Docker/Podman凭证与VPN配置文件 窃取数据通过HTTP发送至temp.sh,命令控制则经由本地回环代理连接Tor洋葱服务。为实现持久化,该程序会注册Restart=always的systemd服务:root权限下复制至/var/lib/并创建/etc/systemd/system/单元;普通用户权限下则使用主目录及~/.config/systemd/user/单元。 关于eBPF rootkit存在误读——它仅在二进制文件已获root权限且具备相应能力时才会加载,并非用于提权。激活后通过名为hidden_pids/hidden_names/hidden_inodes的固定BPF映射,隐藏自身进程、进程名及套接字inode,并阻止调试器附加。这使得常规清理手段失效:单纯移除AUR软件包不足以保证系统洁净,因rootkit可能已驻留。 该二进制还释放与monero-wallet-gui关联的次级文件,分析认为可能是未经验证的加密货币挖矿程序。信息窃取器与eBPF rootkit的组合实属罕见,值得高度警惕。 影响范围与第二波攻击 Sonatype最初报告20余个被劫持软件包,24小时内社区追踪者和Arch aur-general讨论串已确认超400个(通过grep搜索AUR git镜像统计约408个)。atomic-lockfile npm包在被下架前每周仅134次下载,表明主要威胁来自AUR构建路径而非npm安装。 第二波攻击改用bun install js-digest,源自与atomic-lockfile关联的npm发布者另一组账户。其负载为不同哈希值的ELF文件,同样被社区标记为恶意。当前传播规模仍在统计中,需同时检查atomic-lockfile与js-digest相关痕迹。 处置建议 Arch维护者正重置恶意提交、封禁相关账户,并呼吁用户通过邮件列表持续报告可疑软件包。鉴于受影响列表不完整,建议采取以下措施: 对照社区列表与检测脚本核查6月11日后的AUR安装/更新记录,grep检查构建历史缓存中是否含npm install atomic-lockfile、bun install js-digest及src/hooks/deps路径 若运行过可疑软件包,视为主机凭证已泄露,需轮换所有可能被窃凭证:浏览器会话、SSH密钥、GitHub/npm令牌、Slack/Teams/Discord会话、Vault令牌、Docker/Podman凭证及云密钥 排查持久化机制:检查未知systemd服务(系统单元与用户单元)、/var/lib/异常文件,审查/sys/fs/bpf/中的BPF映射,监控Tor及文件上传服务的出站连接 root权限下执行过恶意包则需从可信介质重装系统 今后构建前务必审查PKGBUILD和.install钩子,特别警惕近期易主或长期休眠后突然活跃的软件包 主负载SHA-256为6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b,完整IoC集详见ioctl.fail分析报告。 此次攻击与2018年PDF阅读器软件包劫持事件手法类似,但规模显著扩大,属于利用废弃项目继承信任(而非域名仿冒)的供应链攻击新趋势。目前尚未分配CVE编号,Sonatype将其追踪为Sonatype-2026-003775(CVSS 8.7)。事件暴露出AUR仍过度依赖软件包名称和历史记录,而非当前维护者可信度——对于近期易主或突然新增安装钩子的软件包,应保持与陌生来源同等的警惕。 参考来源: Over 400 Arch Linux AUR Packages Hijacked to Deploy Infostealer and eBPF Rootkit # 终端安全 # 安全报告 本文为 独立观点,未经授权禁止转载。 如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024) 被以下专辑收录,发现更多精彩内容 + 收入我的专辑 + 加入我的收藏 展开更多 相关推荐 关 注 0 文章数 0 关注者
← 返回 安全攻防