AURpocalypse: Hơn 1.600 Gói Arch Linux AUR Bị Thỏa Hiệp Trong Cuộc Tấn Công Chuỗi Cung Ứng Khủng Khiếp Nhắm Vào Nhà Phát Triển ⚠️
Một cuộc tấn công chuỗi cung ứng được phối hợp chặt chẽ và tàn khốc đã nhắm vào Arch User Repository (AUR), làm thỏa hiệp hơn 1.600 gói do cộng đồng duy trì. Chiến dịch này, được đặt tên là "AURpocalypse", đại diện cho một trong những nỗ lực hung hãn và tinh vi nhất nhằm thỏa hiệp cơ sở hạ tầng của nhà phát triển trong lịch sử gần đây. 💥
Những kẻ tấn công đã tiêm thành công các hook cài đặt độc hại được thiết kế để triển khai một trình đánh cắp thông tin xác thực mạnh mẽ dựa trên Rust và một rootkit hỗ trợ eBPF, nhắm trực tiếp vào thông tin đăng nhập của nhà phát triển, các pipeline CI/CD và các khóa hạ tầng đám mây nhạy cảm. 😱
---
Dòng Thời Gian Cuộc Tấn Công 🗓️
* Ngày 9–12 tháng 6 năm 2026: Kẻ tấn công đã hệ thống hóa việc chiếm đoạt các gói AUR bị bỏ rơi hoặc không được bảo trì và đẩy các bản cập nhật độc hại chứa các hook cài đặt. * Ngày 11 tháng 6 năm 2026: Các thành viên cộng đồng trên danh sách gửi thư aur-general đã nhận thấy một bản cập nhật cực kỳ đáng ngờ cho gói alvr (Arch Linux VR), giới thiệu các hook thực thi npm không mong muốn. Một cuộc tìm kiếm nhanh chóng trên gương Git của AUR đã tiết lộ rằng sự thỏa hiệp này là có hệ thống. * Cuối ngày 11 tháng 6 năm 2026: Phân tích kỹ thuật của công ty bảo mật ioctl.fail đã xác nhận sự hiện diện của một pipeline phân phối phần mềm độc hại đa giai đoạn. Họ phát hiện ra rằng những kẻ tấn công đã giả mạo thành công các commit Git để mạo danh một nhà bảo trì hợp pháp, nổi tiếng (arojas) nhằm vượt qua sự nghi ngờ của người dùng. 🕵️♂️ * Ngày 12 tháng 6 năm 2026: Đội ngũ Arch Linux đã cố gắng chặn đăng ký tự động bằng bộ lọc chống bot "Anubis" của họ. Tuy nhiên, sau khi bot tiếp tục vượt qua, các nhà bảo trì đã thực hiện bước quyết liệt là vô hiệu hóa hoàn toàn việc đăng ký tài khoản mới trên AUR. * Ngày 13 tháng 6 năm 2026: Các nỗ lực khắc phục của cộng đồng được khởi xướng, bao gồm các script quét tự động và các đề xuất thay đổi cấu trúc đối với mô hình bảo mật của AUR.
---
Các Phương Pháp Tấn Công & Cơ Chế Phân Phối Chi Tiết 🕵️♀️
Những kẻ tấn công đã lợi dụng các tài khoản nhà bảo trì mới được tạo và bị thỏa hiệp để thực hiện chiến dịch trong hai làn sóng riêng biệt, có tổ chức cao:
Làn Sóng 1: Chiến Dịch NPM `atomic-lockfile` và `lockfile-js` 🌊
* Các Tài Khoản Chịu Trách Nhiệm: krisztinavarga, franziskaweber, tobiaswesterburg, ellenmyklebust, và danh tính giả mạo của arojas. * Thực Thi: Sau khi kẻ tấn công giành quyền kiểm soát các gói bị bỏ rơi, chúng đã chỉnh sửa các tệp .install và .hook để thực thi npm install atomic-lockfile hoặc npm install lockfile-js trong quá trình biên dịch gói. * Tải Trọng Độc Hại: Các gói npm chứa một hook preinstall kích hoạt một tệp nhị phân ELF nhúng tên là deps (SHA256: 6144D4...). Tệp nhị phân này được viết bằng Rust và hoạt động như một trình đánh cắp thông tin thầm lặng. 🤫
Làn Sóng 2: Chiến Dịch Bun `js-digest` 🚀
* Các Tài Khoản Chịu Trách Nhiệm: custodiatovar, veramagalhaes (xuất bản dưới phạm vi NPM thống nhất herbsobering). * Thực Thi: Những kẻ tấn công đã tiêm trực tiếp bun install js-digest vào các tệp PKGBUILD. * Tải Trọng Độc Hại: Gói js-digest mang theo một tải trọng ELF đã biên dịch (SHA256: 7883BD...) với các khả năng nâng cao, nhắm mục tiêu vào các gói chính như guiscrcpy, netmon-git, inadyn-mt, nodejs-elm, và keepassx2.
---
Khả Năng Của Phần Mềm Độc Hại: Rootkit eBPF và Thu Thập Thông Tin Xác Thực Chuyên Sâu 😈
Phần mềm độc hại dựa trên Rust được triển khai được tối ưu hóa đặc biệt để tấn công các môi trường phát triển. Các khả năng chính của nó bao gồm:
1. Đánh Cắp Thông Tin Xác Thực Quy Mô Lớn: * Khóa Nhà Phát Triển: Trích xuất GitHub Personal Access Tokens (PATs), npm publishing tokens, SSH keys (id_rsa, v.v.), Docker registry credentials, và HashiCorp Vault tokens. * Phiên Hợp Tác: Đánh cắp cơ sở dữ liệu phiên Slack, Discord tokens, và cookie Microsoft Teams/M365. * Khóa Đám Mây: Quét các cấu hình AWS, Google Cloud và Azure CLI.
2. Tàng Hình Mạnh Mẽ Bằng eBPF (Chế Độ Root): Nếu được thực thi với quyền root (CAP_BPF), phần mềm độc hại sẽ triển khai một rootkit cấp kernel eBPF (Extended Berkeley Packet Filter) tiên tiến. Rootkit này cho phép phần mềm độc hại chặn các lệnh gọi hệ thống để ẩn hoàn toàn các ID tiến trình, tệp cấu hình và socket mạng của chính nó, khiến các công cụ giám sát tiêu chuẩn (như ps, top, hoặc netstat) hoàn toàn không thể phát hiện sự hiện diện của nó. 👻
3. Rò Rỉ Dữ Liệu: Thông tin xác thực và ảnh chụp hệ thống đã thu thập được nén lại và tải lên ẩn danh đến dịch vụ chia sẻ tệp dùng một lần temp.sh, với các giao tiếp Command and Control (C2) dự phòng được định tuyến qua dịch vụ Tor Onion.
4. Duy Trì Sự Hiện Diện: Phần mềm độc hại thiết lập sự duy trì bằng cách cài đặt các dịch vụ systemd tùy chỉnh (hoạt động ở chế độ root hoặc người dùng) được đặt thành Restart=always.
---
Biện Pháp Giảm Thiểu & Kiểm Tra Hệ Thống 🛡️
Đối với các tổ chức đang chạy Arch Linux hoặc các bản phân phối dựa trên Arch (như EndeavourOS hoặc Manjaro) trên máy phát triển hoặc CI/CD runners, cần có hành động ngay lập tức. 🚨
1. Xác Định Các Gói Bị Thỏa Hiệp
Chạy lệnh này để kiểm tra xem có bất kỳ gói nào đã cài đặt của bạn nằm trong danh sách bị thỏa hiệp đã biết không: bash comm -1 -2 <( pacman -Qq | sort ) <( curl -s https://raw.githubusercontent.com/lenucksi/aur-malware-check/master/package_list.txt | sort )
2. Kiểm Tra Nhật Ký Hệ Thống & Bộ Nhớ Đệm
Xem lại nhật ký pacman cho các hành động đã thực hiện từ ngày 9 đến ngày 12 tháng 6 năm 2026. Cụ thể, kiểm tra các thư mục bộ nhớ đệm npm và bun của bạn để tìm bất kỳ dấu vết nào của atomic-lockfile, lockfile-js, hoặc js-digest.
3. Chạy Các Script Kiểm Toán Cộng Đồng
Cộng đồng Arch Linux đã phát triển một script kiểm toán hiệu suất cao có tên aur_check-v2.sh. Người dùng có thể tải xuống và thực thi script này để thực hiện quét toàn diện hệ thống các nhật ký cài đặt lịch sử, các dịch vụ systemd đang hoạt động và hoạt động rootkit eBPF tiềm ẩn: bash git clone https://github.com/lenucksi/aur-malware-check.git cd aur-malware-check ./aur_check-v2.sh --full Hãy bảo vệ hệ thống của bạn ngay! 💪