Arch Linux'un topluluk paket deposu AUR (Arch User Repository), bu hafta büyük bir tedarik zinciri saldırısına maruz kaldı. Saldırganlar, 400'den fazla paketi ele geçirerek bu paketlerin derleme betiklerini değiştirdi ve herhangi bir makinede derlendiklerinde bir bilgi hırsızı çalıştırmalarını sağladı. Bu saldırı, Arch Linux'un resmi depolarını etkilemedi ancak AUR kullanıcıları için ciddi bir güvenlik tehdidi oluşturuyor.
Kötü amaçlı yazılım, Rust ile yazılmış bir ikili dosya olarak geliştirici sırlarını (tarayıcı çerezleri, SSH anahtarları, GitHub ve npm tokenları, Slack ve Discord oturumları, Docker kimlik bilgileri ve daha fazlası) çalmak üzere tasarlandı. Root yetkisiyle çalıştığında, kendini gizlemek için bir eBPF rootkit'i de yükleyebiliyor. Rootkit, kendi süreçlerini, süreç adlarını ve soket inode'larını gizleyerek hata ayıklama girişimlerini engelliyor.
Saldırganlar, terk edilmiş (orphaned) projeleri hedef alarak bu paketleri sahiplendi ve derleme dosyalarını (PKGBUILD veya .install) değiştirerek 'npm install atomic-lockfile' komutunu çalıştırdı. Bu npm paketi, 'deps' adlı bir Linux ELF ikili dosyasını barındırıyordu. Git commit meta verileri de taklit edilerek değişikliklerin uzun süreli bir bakıcıdan gelmiş gibi görünmesi sağlandı. Saldırının ikinci bir dalgasında ise 'bun install js-digest' kullanıldı ve farklı bir kötü amaçlı ikili dosya yayıldı.
Bu saldırının temel hedefi, yazılım güvenlik açığı değil, güven modeliydi. Ele geçirilen paketler isimlerini, geçmişlerini ve beraberlerinde gelen güveni korudu; sadece derleme talimatları değiştirildi. Bu nedenle, 11 Haziran 2026 veya sonrasında AUR paketi kuran veya güncelleyen kullanıcıların sistemlerini kontrol etmeleri kritik önem taşıyor. Paket yöneticisi bilinen dosyaları kaldırabilir ancak rootkit yeteneğine sahip bir yükün çalıştırıldığı bir makinenin temiz olduğunu garanti edemez. Uzmanlar, şüpheli paketler tespit edildiğinde sistemin güvenilir medyadan yeniden kurulmasını öneriyor.
Gelecekte bu tür saldırılardan korunmak için, özellikle yakın zamanda sahiplenilmiş veya uzun süredir hareketsizken aniden aktif hale gelen paketlerde, PKGBUILD ve .install kancalarını dikkatlice incelemek ve derleme talimatlarını anlamadan paketi kurmamak büyük önem taşıyor. Bu kampanya, terk edilmiş projeleri ele geçirerek güveni miras almanın, yazım hatası avcılığından daha etkili bir tedarik zinciri saldırısı yöntemi olduğunu bir kez daha gösterdi.