Más de 400 paquetes en el Repositorio de Usuarios de Arch (AUR) distribuyen un
rootkit de Linux y malware de robo de información que ataca credenciales y
tokens de acceso.
Un informe de la comunidad de inteligencia de código abierto Independent
Federated Intelligence Network (IFIN) señala que un nuevo mantenedor está
suplantando la identidad de un editor de confianza en la plataforma AUR para
distribuir paquetes infectados.
La distribución Arch Linux es popular entre usuarios avanzados y
desarrolladores, quienes utilizan el catálogo AUR para obtener las últimas
versiones del software instalado, los controladores y el kernel.
AUR es un repositorio mantenido por la comunidad para la distribución Arch que
contiene scripts de compilación de paquetes (PKGBUILD) con
instrucciones para descargar, compilar e instalar software no disponible en
los repositorios oficiales de Arch.
AUR se considera esencial para cualquier distribución basada en Arch porque
contiene aplicaciones propietarias, versiones beta/nightly de software de
código abierto, utilidades especializadas y versiones antiguas de paquetes que
conservan funcionalidades que podrían haber sido eliminadas en versiones
posteriores.
Sin embargo, no se trata de un espacio verificado, y los ciberdelincuentes
pueden usarlo para distribuir malware a través de paquetes que cambian de
propietario sin que nadie se dé cuenta.
Según Michael Taggart, miembro de IFIN,
los paquetes comprometidos se modifican con scripts
de preinstalación que descargan y ejecutan un paquete npm malicioso
llamado atomic-lockfile.
El investigador de seguridad independiente Whanos señala que una muestra de
atomic-lockfile incluía una carga útil ELF de Linux llamada deps, que
era un
«ladrón de credenciales con capacidades de rootkit eBPF (filtro de paquetes
Berkeley extendido) opcionales solo para root. Está diseñado para
estaciones de trabajo de desarrolladores y entornos de compilación. Su
objetivo son los datos de navegadores y aplicaciones Electron, Slack,
Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material
de VPN, historiales de shell y otros secretos locales de desarrolladores»,
afirma Whanos en el informe.
Gracias a la tecnología eBPF, el malware puede ejecutarse dentro del kernel
con privilegios elevados y ocultar procesos locales.
La empresa de gestión de la cadena de suministro
Sonatype también publicó un informe
sobre una campaña dirigida al repositorio AUR y que distribuía el paquete
malicioso atomic-lockfile de npm, pero utilizando un método
diferente. Los investigadores de Sonatype afirman que el atacante secuestró al
menos 20 paquetes huérfanos en AUR e distribuyó
atomic-lockfile modificando el archivo PKGBUILD, un
script de Bash con la información de compilación necesaria para
los paquetes de Arch Linux.
Según el informe, el atacante añadió un script posterior a la instalación para
invocar npm y descargar el paquete malicioso.
«Los paquetes modificados añaden un script posterior a la instalación que
invoca npm e instala atomic-lockfile durante la instalación del paquete», explica Sonatype.
Sin embargo, el análisis reveló que el paquete npm instalaba un
ejecutable de Linux con referencias a un rootkit eBPF capaz de ocultar
procesos, archivos e interfaces de red. Además, el binario de Linux indica que
posee funcionalidad de robo de información, dirigida a los siguientes tipos de
información confidencial:
- Credenciales de GitHub
- Archivos SSH
- Tokens de HashiCorp Vault
- Bases de datos de cookies del navegador
- Datos de Slack
- Datos de Discord
- Datos de Microsoft Teams
- Datos de Telegram
Sonatype determinó que el binario puede archivar datos, manejar archivos
multipartes y realizar cargas HTTP, por lo que cuenta con la funcionalidad
necesaria para un mecanismo típico de exfiltración de datos.
Los responsables de AUR están trabajando para identificar y eliminar todas las
confirmaciones maliciosas y bloquear las cuentas que las distribuyen. En un
mensaje a la comunidad, Jonathan Grotelüschen, responsable del paquete Arch
Linux,
instó a los usuarios
a reportar cualquier paquete malicioso que encuentren.
Como regla general, se recomienda confiar únicamente en proyectos con
actualizaciones frecuentes y una comunidad activa. Se aconseja a los usuarios
de Arch que revisen la lista de paquetes afectados y busquen los indicadores
de compromiso que se mencionan en el informe de Whanos.
Fuente:
BC