Plus de 400 paquets de l’Arch User Repository diffusent un rootkit Linux et un programme malveillant qui récolte les identifiants et les jetons d’accès.
Un rapport du réseau d’intelligence Independent Federated Intelligence Network signale qu’un nouveau mainteneur usurpe l’identité d’un éditeur de confiance sur cette plateforme pour propager des paquets infectés.
La distribution Arch Linux est populaire parmi les utilisateurs avancés et les développeurs. Ils utilisent le catalogue de l’AUR pour obtenir les versions les plus récentes des logiciels installés, des pilotes et du noyau.
L’Arch User Repository est un dépôt géré par la communauté pour Arch. Il contient les scripts de construction, les PKGBUILD, qui donnent les instructions pour télécharger, compiler et installer des logiciels absents des dépôts officiels d’Arch.
L’AUR est indispensable pour les systèmes basés sur Arch car il propose des applications propriétaires, des versions en développement de logiciels libres, des utilitaires de niche et d’anciennes versions de paquets qui ont conservé certaines fonctionnalités supprimées plus tard.
Ce dépôt n’est cependant pas contrôlé. Des acteurs malveillants peuvent l’utiliser pour diffuser des logiciels malveillants. Ils prennent notamment le contrôle de paquets sans que personne ne s’en aperçoive.
D’après Michael Taggart de IFIN, les paquets compromis sont modifiés avec des scripts de pré-installation. Ils téléchargent et exécutent un paquet npm malveillant nommé atomic-lockfile.
Le chercheur en sécurité Whanos précise qu’un échantillon de ce paquet contenait en plus une charge utile Linux ELF du nom de deps. Il s’agissait d’un voleur d’identifiants auquel on pouvait adjoindre un rootkit qui exploite la technologie eBPF.
Whanos explique que ce programme cible les postes de travail des développeurs et les environnements de construction. Il vise les données des navigateurs et des applications Electron, mais aussi celles de Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, les connexions VPN, les historiques shell et d’autres données sensibles locales.
Grâce à la technologie eBPF, le programme malveillant peut s’exécuter à l’intérieur du noyau avec des privilèges élevés et dissimuler les processus actifs.
La société Sonatype a aussi publié un rapport sur cette campagne, qui cible l’Arch User Repository et le paquet atomic-lockfile, mais selon une méthode différente.
Ses chercheurs affirment que la personne malintentionnée a détourné au moins vingt paquets orphelins sur l’AUR. Elle a diffusé atomic-lockfile en modifiant le fichier PKGBUILD, un script Bash qui définit les informations de construction pour les paquets Arch Linux.
D’après le rapport, l’assaillant a ajouté un script post-installation qui invoque npm et récupère le paquet malveillant.
Sonatype ajoute que ces paquets modifiés installent une application Linux aux références claires vers un rootkit eBPF. Celui-ci peut masquer des processus, des fichiers et des interfaces réseau.
De plus, le binaire Linux indique une fonctionnalité de vol de données. Il vise les types d’informations sensibles suivantes :
- Les identifiants GitHub,
- Les éléments SSH,
- Les jetons HashiCorp Vault,
- Les bases de données de cookies des navigateurs,
- Les données de Slack,
- Les données de Discord,
- Les données de Microsoft Teams,
- Les données de Telegram.
Sonatype a déterminé que ce binaire peut archiver des données, gérer des fichiers en plusieurs parties et réaliser des téléchargements via HTTP. Une fonctionnalité typique pour un mécanisme d’exfiltration est donc présente.
Les mainteneurs de l’Arch User Repository travaillent désormais à identifier et supprimer toutes les modifications malveillantes, et à bannir les comptes qui les ont poussées.
Dans un message à la communauté, le mainteneur de paquets Arch Linux Jonathan Grotelüschen a poussé les utilisateurs à signaler tout paquet suspect qu’ils trouveraient.
En règle générale, il est conseillé de n’accorder sa confiance qu’aux projets qui reçoivent des mises à jour fréquentes et qui ont une communauté active.
Les utilisateurs d’Arch sont invités à consulter la liste des paquets concernés, ainsi que les indicateurs de compromission fournis dans le rapport de Whanos.
Michael Taggart a aussi signalé un script qui vérifie la présence du programme malveillant atomic-lockfile sur le système.
Si des paquets compromis se trouvent sur une machine, les utilisateurs devraient renouveler tous leurs identifiants et songer à réinstaller Arch Linux entièrement, car un rootkit peut survivre aux procédures de nettoyage habituelles.