Mais de 1.900 pacotes do Arch Linux foram sequestrados no último final de semana como parte de um ataque massivo à cadeia de suprimentos, projetado para infectar usuários com um rootkit e um coletor de credenciais. O atacante (ou grupo) mirou pacotes hospedados no AUR (Arch User Repository), um repositório comunitário onde usuários compartilham scripts de compilação para softwares não presentes nos repositórios oficiais. O portal abriga cerca de 100 mil entradas, mas quase um décimo delas foi abandonado por seus mantenedores. O ataque explorou um mecanismo que permitiu ao hacker “adotar” pacotes órfãos e se tornar mantenedor.
O invasor modificou o procedimento de instalação dos pacotes para adicionar um pacote npm malicioso (atomic-lockfile e variantes como js-digest) que baixava e instalava um rootkit e um infostealer, explicou a Sonatype em sua análise. O ataque começou com 400 pacotes sequestrados, expandiu-se para 1.500 e, no momento da publicação desta matéria, se aproximava de 2.000. Uma lista ativamente mantida dos pacotes sequestrados está disponível no HedgeDoc do Arch Linux. O invasor, ciente das tentativas de interromper o ataque, modificou o procedimento de instalação, substituindo o pacote npm por um script Bun para contornar detecções, e as tentativas de sequestro ainda estão em andamento.
Malware coleta credenciais e pode se esconder com eBPF
O payload malicioso, um infostealer escrito em Rust, coleta credenciais de navegadores e aplicações Electron, além de chaves SSH, tokens GitHub, npm, Slack, Discord e credenciais de acesso à nuvem (Docker, AWS), detalhou a StepSecurity. A análise do malware mostra que ele também pode coletar credenciais de tokens de sessão para SSO, consoles de nuvem e aplicações SaaS. Em sistemas onde executa com privilégios elevados, o malware pode ativar capacidades do tipo rootkit usando persistência baseada em eBPF para esconder processos e atividades de arquivo, tornando a detecção e limpeza significativamente mais difíceis. Hosts comprometidos devem ser tratados como totalmente não confiáveis: reconstruídos a partir de mídia limpa e com todas as credenciais expostas rotacionadas, alertaram os pesquisadores.
O ataque explora um mecanismo de transferência de propriedade do AUR: se um mantenedor abandona um pacote, outro usuário pode solicitar adotá-lo, herdando o nome e a reputação do pacote, explicou a StepSecurity. A campanha, apelidada de “Atomic Arch” pelos pesquisadores da Sonatype, demonstra como invasores modernos comprometem desenvolvedores e infraestrutura de CI ao abusar da confiança em ecossistemas open source. O Rootkit compromete o sistema em nível de kernel, permitindo que o atacante mantenha acesso persistente e oculto. Pesquisadores ainda não atribuíram o ataque a um grupo específico.
