Atomic-Arch-Angriff trifft mehr als 1.500 AUR-Pakete

Zusammenfassung

Arch Linux hat neue Kontoanmeldungen für das Arch User Repository (AUR) vorübergehend ausgesetzt. Hintergrund ist eine laufende Supply-Chain-Attacke, bei der nach Angaben des Projekts und von Sonatype eine Welle bösartiger Pakete in das Community-Repository eingeschleust wurde. Die Kampagne wird in der Sicherheitscommunity unter dem Namen Atomic Arch verfolgt und begann in der vergangenen Woche. Bis zum 11. Juni waren bereits mehr als 1.500 manipulierte Pakete veröffentlicht worden. AUR dient Arch-Linux-Nutzern dazu, PKGBUILDs für Software zu teilen, die nicht in den offiziellen Paketquellen enthalten ist; daraus lassen sich lokal native Pakete bauen. Gerade weil Angreifer laut Sonatype verwaiste Pakete mit legitimer Nutzungshistorie ins Visier nahmen, fiel die Reichweite der Attacke groß aus. Arch Linux erklärte, man arbeite aktiv daran, vorhandene bösartige Commits aufzuspüren und weitere nachzuschieben zu verhindern. Am Montag setzte das Projekt die Registrierung neuer AUR-Konten aus, um die Bereinigung zu erleichtern.

Nach Darstellung von Sonatype begann die Kampagne mit aufgegebenen AUR-Paketen, die so verändert wurden, dass sie während der Installation ein bösartiges NPM-Paket ausführen. Bis zum 12. Juni stellten die Angreifer ihre Installationspfade auf Bun um und veröffentlichten zusätzlich neue schädliche Pakete. Durch die Auswahl verwaister Pakete mit bereits bestehender legitimer Verbreitung vergrößerte sich die mögliche Angriffsfläche erheblich.

Das Vorgehen ähnelt laut Bericht dem Muster, das bereits bei der Axios-Supply-Chain-Attacke zu beobachten war. Die Angreifer manipulierten die PKGBUILD-Dateien der betroffenen Pakete und schleusten so schädliches Verhalten ein, das sich als NPM-Paket namens atomic-lockfile tarnte.

Sonatype zufolge verweist die Linux-Datei, die im Rahmen eines Atomic-Arch-Angriffs während der Paketinstallation ausgeführt wird, auf eBPF, den erweiterten Berkeley Packet Filter. Diese Technik erlaubt es Programmen, mit erhöhten Rechten innerhalb des Linux-Kernels zu laufen, was nach Einschätzung im Bericht wahrscheinlich der Persistenz dienen soll.

Beobachtet wurden außerdem Funktionen zum Verbergen von Prozessen, Dateien und Netzwerkaktivitäten, Bezüge zu diagnostischen Linux-Socket-Schnittstellen, Mechanismen zur Erkennung von Debuggern sowie eine HTTP-Upload-Funktion. Die Malware weist damit Merkmale auf, die an ein Rootkit erinnern.

Wie Sonatype weiter festhält, referenziert der Schadcode zudem Zugangsdaten, SSH-Artefakte, HashiCorp-Vault-Token, Browser-Cookies und Datenspeicher verbreiteter Kollaborationsanwendungen. Das deutet darauf hin, dass die Malware für das Abgreifen und Ausschleusen von Zugangsdaten und Geheimnissen ausgelegt ist.

StepSecurity warnt, dass die Schadsoftware auf Systemen mit erhöhten Rechten auch versuchen kann, über eBPF Persistenz herzustellen und dabei Prozesse sowie Dateizugriffe zu verbergen. Das erschwere Erkennung und Bereinigung deutlich. Ein kompromittierter Host sollte deshalb als vollständig nicht vertrauenswürdig behandelt werden; StepSecurity empfiehlt einen Neuaufbau aus sauberen Installationsmedien sowie den Austausch aller offengelegten Zugangsdaten. Ein einmaliger Malware-Scan reiche nicht aus.

Arch Linux hatte bereits am Freitag mitgeteilt, man verfolge aktiv vorhandene bösartige Commits und versuche, weitere schädliche Einspielungen zu unterbinden. Am Montag folgte dann der Schritt, neue Registrierungen im AUR für Aufräumarbeiten zu stoppen.

Atomic-Arch-Angriff trifft mehr als 1.500 AUR-Pakete

Ähnliche Artikel

Neueste Artikel