Hơn 400 gói AUR bị cài mã độc Infostealer và Rootkit nguy hiểm

Một sự cố an ninh nghiêm trọng vừa được phát hiện tại Arch User Repository (AUR), nơi một người duy trì (maintainer) mới đã xâm phạm và cài mã độc vào hơn 400 gói phần mềm.

Cuộc tấn công này đặc biệt nguy hiểm vì nó không chỉ dừng lại ở việc đánh cắp thông tin (infostealer) mà còn sử dụng rootkit eBPF, một công nghệ tiên tiến cho phép kẻ tấn công ẩn mình sâu trong nhân hệ điều hành.

Cuộc tấn công chuỗi cung ứng quy mô lớn

Theo báo cáo, một tài khoản maintainer mới có tên là "arojas" đã tiếp nhận (adopt) hàng loạt gói phần mềm bị bỏ ngỏ và chèn mã độc vào chúng. Tổng cộng có hơn 400 gói phần mềm bị ảnh hưởng trước khi cộng đồng phát hiện ra sự bất thường.

Các gói này đã bị sửa đổi để bao gồm các script cài đặt trước (preinstall scripts). Khi người dùng cài đặt các gói này, script sẽ âm thầm sử dụng npm để tải về một gói độc hại có tên là atomic-lockfile.

Cơ chế hoạt động của mã độc

Mã độc atomic-lockfile đóng vai trò là payload (tải trọng) chính trong cuộc tấn công này. Socket.dev, một nền tảng phân tích bảo mật phần mềm, đã ghi nhận 134 lượt tải xuống cho gói npm độc hại này.

Điều đáng lo ngại là người dùng đứng sau gói này có tên là herbsobering. Khi tra cứu tên này trên GitHub, các nhà nghiên cứu bảo mật phát hiện một hình ảnh container duy nhất dường như là công cụ reverse shell hoặc proxy, cho thấy mục đích điều khiển từ xa của kẻ tấn công.

Rootkit eBPF và mức độ nguy hiểm

Điểm đáng chú ý nhất của vụ việc là sự xuất hiện của rootkit eBPF. eBPF (Extended Berkeley Packet Filter) là một công nghệ cho phép chạy mã an toàn trong nhân Linux mà không cần viết các module nhân. Tuy nhiên, khi bị kẻ xấu lợi dụng, rootkit eBPF cực kỳ khó phát hiện và có khả năng theo dõi hệ thống ở mức độ rất sâu.

Mặc dù hầu hết các gói bị ảnh hưởng là các phần mềm ít phổ biến, nhưng quy mô của cuộc tấn công cho thấy sự lỏng lẻo trong quy trình duyệt xét của các maintainer mới trên AUR.

Hiện tại, các maintainer khác của AUR đang làm việc khẩn cấp để gỡ bỏ các gói phần mềm bị nhiễm độc. Nếu bạn không sử dụng Arch Linux, bạn có thể yên tâm rằng mình không chịu ảnh hưởng. Tuy nhiên, đối với cộng đồng người dùng Arch, việc kiểm tra lại lịch sử cài đặt và cập nhật hệ thống là khẩn thiết ngay lúc này.