Introduction
Une récente compromission de packages sur le dépôt Arch User Repository (AUR) a été découverte, impliquant plus de 408 packages. Un nouveau mainteneur de packages, arojas, a infecté ces packages avec un script pré-installation malveillant utilisant npm pour installer le package atomic-lockfile, qui contient une charge utile malveillante.
Contexte Technique
Les packages affectés ont été modifiés avec des scripts pré-installation qui utilisent npm pour installer le package atomic-lockfile, qui est en réalité un logiciel malveillant. Ce package a été téléchargé 134 fois selon les données disponibles sur Socket.dev. L'enquête a également révélé que le mainteneur du package npm, herbsobering, a un lien avec un outil de shell inversé et de proxy sur GitHub.
Les mécanismes d'attaque incluent l'utilisation d'un rootkit basé sur eBPF, ainsi que des comportements d'infostealer, ce qui constitue une attaque de la chaîne d'approvisionnement d'une ampleur rare.
Analyse et Implications
Les implications de cette compromission sont graves, notamment pour les utilisateurs d'Arch Linux qui ont installé des packages affectés. La présence d'un rootkit rend impossible la confiance dans le système, ce qui nécessite une réinstallation complète du système d'exploitation et la rotation de toutes les informations d'identification.
Les utilisateurs non-Arch ne sont pas affectés directement, mais cet incident souligne l'importance de la sécurité de la chaîne d'approvisionnement logicielle et la nécessité de vigilance constante face aux menaces émergentes.
Perspective
Il est essentiel de surveiller de près les mises à jour de sécurité et les alertes concernant les packages logiciels, en particulier ceux issus de dépôts communautaires comme l'AUR. Les utilisateurs doivent être conscients des risques potentiels liés à l'installation de logiciels à partir de sources non vérifiées et prendre des mesures pour protéger leurs systèmes contre de telles menaces.
