400+ แพ็กเกจ AUR ของ Arch Linux ถูกแฮกเพื่อแทรกมัลแวร์ขโม…

การโจมตีครั้งใหม่ที่มุ่งเป้าไปที่ Arch Linux ทำให้ผู้ใช้ต้องเผชิญกับความเสี่ยงจากซอฟต์แวร์ที่ถูกดัดแปลงใน Arch User Repository (AUR) มากกว่า 400 แพ็กเกจ เมื่อผู้ใช้ทำการคอมไพล์แพ็กจ์เหล่านี้ ระบบจะติดตั้งมัลแวร์ที่ขโมยข้อมูลรับรองและอาจโหลด eBPF rootkit** เพื่อซ่อนการทำงานของตน การรั่วไหลนี้ย้ำถึงความอ่อนแอของซัพพลายเชนโอเพ่นซอร์สที่ต้องได้รับการตรวจสอบอย่างต่อเนื่อง

Overview

AUR เป็นคลังเก็บแพ็กเกจที่สร้างและดูแลโดยชุมชนของ Arch Linux ซึ่งทำหน้าที่เป็นแหล่งรวมสคริปต์การสร้าง (PKGBUILD) สำหรับซอฟต์แวร์หลากหลายชนิด ผู้ใช้ที่ต้องการติดตั้งซอฟต์แวร์จาก AUR จะต้องทำการดาวน์โหลดและคอมไพล์โค้ดด้วยตนเอง การกระทำนี้ทำให้สคริปต์การสร้างกลายเป็นจุดที่อาจถูกแทรกโค้ดอันตรายได้ง่าย

ในสัปดาห์ที่ผ่านมา นักวิจัยพบว่าแพ็กเกจกว่า 400 รายการ ถูกแฮกและสคริปต์การสร้างถูกแก้ไขให้ดาวน์โหลดและติดตั้งไฟล์ไบนารีที่เขียนด้วย Rust ซึ่งทำหน้าที่เป็น credential stealer ไฟล์นี้จะทำงานเมื่อผู้ใช้คอมไพล์แพ็กจ์และสามารถเก็บข้อมูลลับของนักพัฒนา เช่น คีย์ API หรือโทเคนการเข้าถึงระบบ

Attack Vector

ผู้โจมตีเลือกใช้วิธีการเข้าถึงระบบจัดการของ AUR โดยการสร้างหรือขโมยบัญชีผู้ดูแลที่มีสิทธิ์อัปโหลด PKGBUILD ใหม่ หลังจากนั้นจึงแก้ไขไฟล์ PKGBUILD ของแพ็กจ์ที่มีอยู่เดิมหรือเพิ่มแพ็กจ์ใหม่ที่มีโค้ดอันตรายเข้าไป

กระบวนการโจมตีสรุปได้ดังนี้

• แฮกหรือขโมยบัญชีผู้ดูแล AUR
• แก้ไขสคริปต์ PKGBUILD ให้ดึงไฟล์มัลแวร์จากเซิร์ฟเวอร์ควบคุมของผู้โจมตี
• เมื่อผู้ใช้คอมไพล์แพ็กจ์ ไฟล์มัลแวร์จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติ

การที่กระบวนการคอมไพล์ต้องดำเนินการบนเครื่องของผู้ใช้ทำให้มัลแวร์สามารถทำงานด้วยสิทธิ์ของผู้ใช้คนนั้น ซึ่งหากผู้ใช้ทำการคอมไพล์ด้วยสิทธิ์ root มัลแวร์จะสามารถเรียกใช้ eBPF rootkit เพื่อซ่อนการทำงานและหลบการตรวจจับได้

Malware Characteristics

ไฟล์ที่ถูกดาวน์โหลดเป็นไบนารีที่คอมไพล์ด้วย Rust ซึ่งเป็นภาษาที่มักใช้สำหรับสร้างซอฟต์แวร์ที่มีประสิทธิภาพและความปลอดภัยสูง นักวิจัยระบุว่า ไบนารีนี้ทำหน้าที่หลักคือ credential stealer โดยการสแกนหาไฟล์คอนฟิกและตัวแปรสิ่งแวดล้อมที่อาจเก็บคีย์หรือโทเคนไว้

หากมัลแวร์ได้สิทธิ์ root จะทำการโหลด eBPF rootkit ผ่านเคอร์เนลของ Linux เพื่อทำให้กระบวนการของตนไม่ปรากฏในเครื่องมือเช่น `ps` หรือ `top` และอาจแก้ไขเครือข่ายเพื่อส่งข้อมูลที่ขโมยออกไปโดยไม่ถูกตรวจพบ

Impact and Response

การโจมตีครั้งนี้มีผลกระทบต่อนักพัฒนาที่ใช้ AUR เป็นแหล่งหลักในการติดตั้งซอฟต์แวร์ รวมถึงผู้ใช้ระบบที่อาจไม่ได้ตรวจสอบความปลอดภัยของขั้นตอนการคอมไพล์เอง การขโมยข้อมูลรับรองอาจทำให้เกิดการเข้าถึงระบบสำคัญขององค์กรหรือโครงการโอเพ่นซอร์สที่ผู้โจมตีสามารถใช้ประโยชน์ต่อไป

หลังจากที่พบการแทรกโค้ดอันตราย ทีมงาน Arch Linux ได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดต PKGBUILD จากแหล่งที่เชื่อถือได้ และตรวจสอบลายเซ็นดิจิทัลของแพ็กจ์ที่ดาวน์โหลด นอกจากนี้ชุมชน AUR ยังเริ่มกระบวนการตรวจสอบบัญชีผู้ดูแลใหม่และเพิ่มการตรวจสอบอัตโนมัติของสคริปต์การสร้างเพื่อป้องกันการแทรกโค้ดในอนาคต

Analysis

การโจมตีผ่าน AUR แสดงให้เห็นถึงความเสี่ยงของ ซัพพลายเชนโอเพ่นซอร์ส ที่อาศัยการมีส่วนร่วมของชุมชนในการจัดการแพ็กจ์ แม้ว่าการตรวจสอบแบบเปิดจะช่วยให้พบช่องโหว่ได้เร็ว แต่การที่ผู้ใช้ต้องทำการคอมไพล์เองก็เป็นจุดอ่อนที่ผู้โจมตีสามารถใช้ประโยชน์ได้

การใช้ Rust ทำให้มัลแวร์มีขนาดเล็กและมีประสิทธิภาพสูง ลดโอกาสที่ระบบป้องกันแบบดั้งเดิมจะตรวจจับได้ ส่วนการผสาน eBPF เข้ากับ rootkit แสดงให้เห็นว่าผู้โจมตีมีความเข้าใจเชิงลึกในเทคโนโลยีของ Linux และกำลังพัฒนาเทคนิคที่ซับซ้อนมากขึ้นเพื่อหลบการตรวจจับ

เหตุการณ์นี้ส่งสัญญาณเตือนให้ผู้ใช้ Linux ที่พึ่งพา AUR หรือคลังแพ็กจ์ชุมชนอื่น ๆ ควรตรวจสอบกระบวนการสร้างอย่างละเอียด รวมถึงพิจารณาการใช้เครื่องมือตรวจสอบลายเซ็นหรือการสแกนโค้ดอัตโนมัติก่อนคอมไพล์

Summary

ผู้โจมตีแฮกและดัดแปลง PKGBUILD ของแพ็กจ์กว่า 400 รายการใน AUR เพื่อติดตั้งมัลแวร์ที่ขโมยข้อมูลรับรองและอาจโหลด eBPF rootkit การโจมตีนี้เน้นความสำคัญของการตรวจสอบซัพพลายเชนในซอฟต์แวร์โอเพ่นซอร์สและกระตุ้นให้ชุมชน Linux ปรับมาตรการความปลอดภัยให้เข้มงวดยิ่งขึ้น.