Plus de 400 paquets au sein du **Arch User Repository (AUR)** distribuent activement un rootkit Linux sophistiqué et un malware voleur d'informations. Ce compromis étendu cible des identifiants critiques et des jetons d'accès, représentant une menace sérieuse pour les utilisateurs avancés et les développeurs d'**Arch Linux**. ### L'axe d'attaque : Mainteneurs usurpés et paquets malveillants Les rapports de la communauté de renseignement open-source **Independent Federated Intelligence Network (IFIN)** indiquent qu'un nouveau mainteneur usurpe l'identité d'un éditeur de confiance sur la plateforme **AUR**. Cette tactique leur permet d'injecter des paquets infectés dans le dépôt maintenu par la communauté. L'**AUR** est une ressource cruciale pour les utilisateurs d'**Arch Linux**, offrant l'accès à un vaste catalogue de logiciels, de pilotes et de versions de noyau non disponibles dans les dépôts officiels. Cependant, sa nature communautaire signifie qu'il ne s'agit pas d'un espace vérifié, le rendant susceptible aux attaques de la chaîne d'approvisionnement où les changements de propriété de paquets peuvent passer inaperçus. ### Le malware : `atomic-lockfile` – Un hybride rootkit et voleur d'informations Selon **Michael Taggart**, membre de l'**IFIN**, les paquets compromis sont modifiés avec des scripts de préinstallation qui téléchargent et exécutent un paquet **npm** malveillant nommé `atomic-lockfile`. Le chercheur indépendant en sécurité **Whanos** a fourni une analyse préliminaire, identifiant une charge utile **ELF** Linux nommée `deps` au sein de `atomic-lockfile`. Cette charge utile est décrite comme un "voleur d'identifiants avec des capacités optionnelles de rootkit **eBPF** [extended Berkeley Packet Filter] root-only". Le malware est spécifiquement conçu pour cibler les postes de travail des développeurs et les environnements de build. **Whanos** note que la fonctionnalité de vol d'informations cible une liste étendue de données sensibles, notamment : * Données des navigateurs et applications **Electron** * Données **Slack**, **Microsoft Teams** et **Discord** * Identifiants **GitHub** * Jetons **npm** * Jetons **HashiCorp Vault** * Artefacts **Docker/Podman** * Clés **SSH** * Matériel **VPN** * Historiques de shell * Autres secrets locaux de développeur La présence de la technologie **eBPF** confère au malware des privilèges élevés, lui permettant de s'exécuter au sein du noyau et de masquer efficacement les processus locaux, rendant la détection et la suppression beaucoup plus difficiles. ### Les découvertes de Sonatype : Paquets orphelins détournés La société de gestion de la chaîne d'approvisionnement **Sonatype** a également publié un rapport détaillant une campagne similaire ciblant le dépôt **AUR**, bien qu'en utilisant une méthode légèrement différente pour livrer le paquet **npm** `atomic-lockfile`. Les chercheurs de **Sonatype** ont observé des acteurs malveillants détournant au moins 20 paquets orphelins sur **AUR**. Les attaquants ont modifié le fichier **PKGBUILD** – un script **Bash** contenant des informations de build pour les paquets **Arch Linux** – pour ajouter un script post-installation. Ce script invoque **npm** pour récupérer et installer le paquet malveillant `atomic-lockfile` pendant le processus normal d'installation du paquet. L'analyse de **Sonatype** a confirmé la présence d'un exécutable Linux avec des références à un rootkit **eBPF** capable de masquer les processus, les fichiers et les interfaces réseau. Le binaire présentait également des capacités de vol d'informations, avec des fonctionnalités d'archivage de données, de gestion de fichiers multi-parties et de téléchargements **HTTP**, indiquant un mécanisme d'exfiltration robuste. ### Réponse de la communauté et conseils aux utilisateurs Les mainteneurs de l'**AUR** travaillent activement à identifier et supprimer tous les commits malveillants et à bannir les comptes associés. **Jonathan Grotelüschen**, mainteneur de paquets **Arch Linux**, a exhorté la communauté à signaler tout paquet suspect qu'ils rencontreraient. Pour les utilisateurs d'**Arch Linux**, il est généralement recommandé de ne faire confiance qu'aux projets avec des mises à jour fréquentes et une communauté active et engagée. Il est conseillé aux utilisateurs de : * Examiner la liste des paquets affectés, qui peut être trouvée dans le rapport de **Whanos**. * Rechercher les indicateurs de compromission (IOC) fournis dans les rapports. * Utiliser un script, partagé par **Michael Taggart**, qui vérifie la présence du malware `atomic-lockfile` sur leurs systèmes. Si des paquets compromis sont découverts, les utilisateurs doivent immédiatement faire pivoter tous leurs identifiants et envisager sérieusement une réinstallation complète d'**Arch Linux** à partir de zéro. La nature persistante d'un rootkit, en particulier un qui utilise **eBPF**, signifie qu'il peut survivre aux efforts de nettoyage standard, nécessitant une suppression complète du système pour garantir une remédiation complète.