Esta semana, los atacantes tomaron el control de más de 400 paquetes en Arch User Repository (AUR), modificaron sus scripts de compilación e instalaron un ladrón de credenciales en las máquinas que los compilaron.
Este malware es un binario de Rust creado para recopilar secretos de desarrolladores. Aterrizar como root también puede cargar el rootkit eBPF y ocultarse. AUR es una colección de paquetes comunitarios para Arch Linux y está separada de los repositorios oficiales de Arch, que no se vieron afectados.
Si instaló o actualizó un paquete AUR después del 11 de junio, compárelo con la lista actual de paquetes afectados antes de confiar en el host. La lista de nombres es enorme, sigue creciendo y aún no está completa.
Este ataque apunta al modelo de confianza en lugar de a fallas de software. Los paquetes comprometidos conservaron sus nombres, historiales y confianza asociada. Sólo los pasos de construcción han cambiado.
Una trampa en la receta hacía que el paquete pareciera exactamente igual al software que el usuario intentaba instalar. No hubo exploits, ni días cero, ni indicios de que los propios sistemas de Arch hubieran sido comprometidos.
El atacante adoptó el paquete abandonado y editó el archivo de compilación para obligar a los usuarios a ejecutar la carga útil. Sonatype, que llamó a la campaña Atomic Arch, se dio cuenta de que estaban rastreando proyectos huérfanos, paquetes cuyos mantenedores se habían alejado y los habían puesto a disposición de cualquiera para adoptarlos.
También falsificaron los metadatos de confirmación de git para que pareciera que los cambios provenían de un mantenedor de mucho tiempo. Un usuario de confianza de Arch Linux confirmó más tarde que la cuenta nunca se había visto comprometida.
Una vez que se adopta el paquete, el script PKGBUILD o .install se edita para ejecutar npm install atomic-lockfile durante la compilación, extrayendo el paquete npm malicioso como cobertura junto con algunos paquetes legítimos. Ese paquete, atomic-lockfile@1.4.2, contiene un enlace de preinstalación que ejecuta un ELF de Linux incluido llamado deps. Al compilar el paquete se ejecutará el binario.
Los ejemplos confirmados reportados a la lista de correo de Arch incluyen los paquetes alvr y premake-git.
qué hace el malware
El investigador independiente Whanos realizó ingeniería inversa en la carga útil de los departamentos y describió un ladrón de credenciales de Rust que apunta a las estaciones de trabajo de los desarrolladores y a los sistemas de compilación. Qué coleccionar:
Cookies, tokens y almacenamiento local de navegadores basados en Chromium (Chrome, Edge, Brave, etc.) Datos de sesión de aplicaciones de Electron, incluidos Slack, Discord y Microsoft Teams. Tokens de GitHub, npm y HashiCorp Vault, además de portadores de OpenAI/ChatGPT. Materiales y metadatos de cuenta. Claves SSH, hosts conocidos e historial de shell. Credenciales de Docker y Podman y perfiles de VPN.
Los archivos robados se envían a temp.sh a través de HTTP. El comando y control se realiza a través del servicio cebolla Tor a través de un proxy de loopback local.
Instale el servicio systemd con Restart=always para persistencia. Como root, se copia a sí mismo en /var/lib/ y escribe unidades en /etc/systemd/system/. Como usuario normal, utilice su directorio de inicio y las unidades por usuario en ~/.config/systemd/user/. De cualquier manera, espero que vuelvas.
Los primeros escritos sobreestimaron el rootkit eBPF. Esto es opcional y sólo se cargará si el binario ya tiene raíz y la funcionalidad adecuada. No se utiliza para adquirir privilegios. Cuando se activa, utiliza mapas BPF anclados llamados Hidden_pids, Hidden_names y Hidden_inodes para ocultar los propios procesos del malware, los nombres de los procesos y los inodos de socket de las herramientas estándar y eliminar cualquier intento de adjuntar un depurador.
Eso cambia los consejos de limpieza. Eliminar el paquete AUR no es suficiente una vez ejecutada la carga útil. El administrador de paquetes puede eliminar archivos que conozca. Una vez que se ejecuta una carga útil habilitada para rootkit, no hay forma de demostrar que la máquina está limpia.
Este binario también presenta un segundo archivo asociado con monero-wallet-gui, que el análisis marca como un posible criptominero no analizado. Es raro ver un rootkit eBPF acoplado a un ladrón, por lo que vale más que encogerse de hombros.
Rango y segunda ola
La publicación inicial de Sonatype contó más de 20 paquetes secuestrados. Los rastreadores de la comunidad y los hilos de Arch aur-general crearon un catálogo de más de 400 en un día, se compiló una lista maestra buscando en el espejo git de AUR y se categorizó alrededor de 408, y la lista consolidada continuó aumentando.
El paquete atomic-lockfile npm en sí solo mostró 134 descargas semanales en Socket antes de ser retirado del registro, por lo que el verdadero peligro es la ruta de compilación de AUR, no la instalación de npm.
La segunda ola utilizó bun install js-digest impulsado desde un conjunto diferente de cuentas cuyo rastreador comunitario se vincula al mismo editor npm que atomic-lockfile. Su carga útil es otro binario, otro ELF mediante hash, que la comunidad también ha marcado como malicioso.
Aún se está investigando hasta qué punto se extendió esta ola. Un desglose inicial enumeró docenas de paquetes, pero búsquedas posteriores basadas en grep en espejos AUR arrojaron números mucho mayores, incluyendo potencialmente la deserción a medida que se eliminan las confirmaciones. En cualquier caso, esta no es una nota al pie de la primera ola, así que verifique tanto atomic-lockfile como js-digest.
que hacer ahora
Los mantenedores de Arch están restableciendo confirmaciones maliciosas, prohibiendo cuentas y pidiendo a los usuarios que continúen informando paquetes sospechosos en los hilos de las listas de correo.
Trate la lista publicada de paquetes afectados como incompleta. De tu lado:
Verifique los paquetes de AUR instalados o actualizados desde el 11 de junio con las listas de paquetes de la comunidad y los scripts de detección. Estos scripts comparan paquetes externos con un conjunto malicioso conocido. grep historial de compilación reciente y caché para npm install atomic-lockfile, bun install js-digest, ruta de carga útil src/hooks/deps. Si se ejecuta un paquete marcado, se considera que el host tiene credenciales comprometidas. Rote todo lo que tocan los ladrones, incluidas sesiones de navegador, claves SSH, tokens de GitHub y npm, sesiones de Slack, Teams y Discord, tokens de Vault, credenciales de Docker y Podman, claves de nube y más. Busque perseverancia. Busque servicios systemd desconocidos (tanto unidades del sistema como ~/.config/systemd/user/) y archivos inesperados en /var/lib/. Examine los mapas ocultos_pids, nombres ocultos e inodos ocultos en /sys/fs/bpf/. Verifique la conectividad saliente a Tor y las cargas de servicios. Si el paquete se ejecutó como root, suponga que hay un rootkit presente y reinstálelo desde un medio confiable. De lo contrario no hay forma de confiar en el sistema. De ahora en adelante, lea PKGBUILD y todos los ganchos .install antes de compilar. Especialmente para paquetes que han sido adoptados recientemente o activados repentinamente después de una larga hibernación. No instale el paquete si no comprende las instrucciones de compilación.
Para la detección, el SHA-256 de la carga útil principal es 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b. El conjunto completo de indicadores, incluidos los hosts cebolla C2, se incluye en el análisis ioctl.fail.
Los paquetes de visualización de PDF abandonados en 2018 fueron atacados con tácticas de reclutamiento similares. La versión 2026 solo lo amplía y, en lugar de utilizar errores tipográficos para engañar a los usuarios, es parte de un ataque más amplio a la cadena de suministro que secuestra proyectos aislados para heredar la confianza. La lista de afectados aún está incompleta y no se han asignado CVE. Sonatype rastrea la campaña como Sonatype-2026-003775 (CVSS 8.7).
Este ataque tuvo éxito porque la AUR todavía tiene confianza en el nombre y la historia del paquete en cuanto a quién lo mantiene actualmente. Los paquetes que han sido adoptados recientemente, o a los que de repente les han surgido nuevos ganchos de instalación, merecen la misma sospecha que los paquetes de extraños.
Source link
