Cuộc tấn công chuỗi cung ứng "Atomic Arch" ập đến Arch Linux: Hơn 1.500 gói phần mềm độc hại

Cuộc tấn công chuỗi cung ứng "Atomic Arch" ập đến Arch Linux: Hơn 1.500 gói phần mềm độc hại

Arch Linux đã thông báo tạm dừng việc đăng ký tài khoản mới trên Arch User Repository (AUR) vào thứ Hai vừa qua, nhằm ứng phó với làn sóng các gói phần mềm độc hại được công bố rộng rãi như một phần của cuộc tấn công chuỗi cung ứng đang diễn ra.

Tấn công chuỗi cung ứng

AUR là một kho lưu trữ do cộng đồng điều hành, cho phép người dùng Arch Linux chia sẻ các tập lệnh biên dịch (PKGBUILD) cho những phần mềm không có trong các kho chính thức. Người dùng có thể sao chép các tập lệnh này để biên dịch gói phần mềm cục bộ trên máy của mình.

Chiến dịch tấn công chuỗi cung ứng này, được cộng đồng an ninh mạng theo dõi dưới tên gọi "Atomic Arch", bắt đầu từ tuần trước và đã phát tán hơn 1.500 gói độc hại tính đến ngày 11 tháng 6.

Chi tiết về chiến dịch tấn công

"Chúng tôi đang tích cực theo dõi các cam kết (commits) độc hại đã tồn tại và cố gắng ngăn chặn các cam kết độc hại bổ sung bị đẩy lên hệ thống," đại diện Arch Linux cho biết vào thứ Sáu. Đến thứ Hai, Arch Linux đã quyết định tạm ngưng đăng ký mới trên AUR để tiến hành dọn dẹp hệ thống.

Theo các chuyên gia từ Sonatype, chiến dịch bắt đầu bằng việc chiếm quyền kiểm soát các gói phần mềm bị bỏ rơi (orphaned) trên AUR. Những kẻ tấn công đã sửa đổi chúng để thực thi một gói NPM độc hại trong quá trình cài đặt. Đến ngày 12 tháng 6, chúng đã chuyển sang sử dụng đường dẫn cài đặt dựa trên Bun và bắt đầu đẩy các gói độc hại mới lên hệ thống.

Bảo mật Linux

Bằng cách nhắm vào các gói phần mềm bị bỏ rơi nhưng từng có lịch sử sử dụng hợp pháp, những kẻ tấn công đã đảm bảo phạm vi ảnh hưởng của cuộc đột nhập là rất lớn.

Kỹ thuật tấn công và khả năng của Malware

Tương tự như phương thức hoạt động được quan sát thấy trong cuộc tấn công chuỗi cung ứng Axios trước đây, tin tặc đã sửa đổi PKGBUILD của các gói để đưa vào hành vi độc hại mạo danh gói NPM có tên atomic-lockfile.

Tệp thực thi của Linux chạy trong quá trình cài đặt gói trong cuộc tấn công Atomic Arch có tham chiếu đến eBPF (extended Berkeley Packet Filter) — công nghệ cho phép các chương trình chạy bên trong nhân Linux với các đặc quyền nâng cao. Điều này có khả năng được sử dụng để duy trì sự tồn tại (persistence) của mã độc trên hệ thống nạn nhân.

Sonatype cũng quan sát thấy các chức năng liên quan đến việc ẩn các quá trình, tệp và mạng; các giao diện chẩn đoán socket của Linux; phát hiện trình gỡ lỗi; và chức năng tải lên HTTP.

Khuyến cáo xử lý

Phần mềm độc hại này hoạt động giống như một rootkit, tham chiếu đến thông tin xác thực, các tạo tác SSH, mã thông báo HashiCorp Vault, cookie trình duyệt và kho dữ liệu từ các ứng dụng cộng tác phổ biến. Điều này cho thấy nó được thiết kế để thu thập và exfiltrate (tải lén ra ngoài) thông tin mật khẩu và bí mật.

"Trên các hệ thống nơi mã độc chạy với các đặc quyền nâng cao, nó có thể cố gắng duy trì sự tồn tại dựa trên eBPF để ẩn các hoạt động của quá trình và tệp, làm cho việc phát hiện và dọn dẹp trở nên khó khăn hơn đáng kể. Một máy chủ bị xâm nhập nên được coi là hoàn toàn không đáng tin: cài đặt lại từ phương tiện sạch và thay đổi tất cả thông tin xác thực đã bị lộ. Một lần quét mã độc đơn thuần là không đủ," StepSecurity cảnh báo.

Các chuyên gia khuyến cáo người dùng Arch Linux đã cài đặt các gói từ AUR trong thời gian gần đây nên kiểm tra kỹ hệ thống và cân nhắc việc xây dựng lại hệ thống từ nguồn tin cậy để đảm bảo loại bỏ hoàn toàn mối đe dọa.