**Arch User Repository (AUR)**内の400以上のパッケージが、洗練されたLinuxルートキットと情報窃盗マルウェアを積極的に配布しています。この広範な侵害は、重要な認証情報とアクセストークンを標的としており、**Arch Linux**のパワーユーザーや開発者にとって深刻な脅威となっています。 ### 攻撃ベクトル：なりすましメンテナーと悪意のあるパッケージ オープンソースインテリジェンスコミュニティである**Independent Federated Intelligence Network (IFIN)**からの報告によると、新しいメンテナーが**AUR**プラットフォーム上で信頼できる発行者を装っています。この戦術により、感染したパッケージをコミュニティ管理のリポジトリに注入することが可能になります。 **AUR**は、公式リポジトリでは利用できない膨大なソフトウェア、ドライバー、カーネルバージョンへのアクセスを提供する、**Arch Linux**ユーザーにとって重要なリソースです。しかし、そのコミュニティ主導の性質は、検証されていない空間であることを意味し、パッケージの所有権の変更が見過ごされる可能性のあるサプライチェーン攻撃に対して脆弱になっています。 ### マルウェア：「atomic-lockfile」 – ルートキットと情報窃盗のハイブリッド **IFIN**のメンバーである**Michael Taggart**によると、侵害されたパッケージは、悪意のある**npm**パッケージ「atomic-lockfile」をダウンロードして実行するプリインストールスクリプトで変更されています。 独立系セキュリティ研究者の**Whanos**は予備的な分析を提供し、「atomic-lockfile」内に「deps」という名前のLinux **ELF**ペイロードを特定しました。このペイロードは、「オプションでルート専用の**eBPF** [extended Berkeley Packet Filter] ルートキット機能を持つクレデンシャルスティラー」と説明されています。このマルウェアは、特に開発者のワークステーションとビルド環境を標的とするように設計されています。 **Whanos**は、情報窃盗機能が以下の広範な機密データリストを標的としていると述べています。 * ブラウザおよび**Electron**アプリケーションデータ * **Slack**、**Microsoft Teams**、**Discord**データ * **GitHub**認証情報 * **npm**トークン * **HashiCorp Vault**トークン * **Docker/Podman**アーティファクト * **SSH**キー * **VPN**資料 * シェル履歴 * その他のローカル開発者の秘密 **eBPF**テクノロジーの存在は、マルウェアに昇格された権限を付与し、カーネル内で実行することを可能にし、ローカルプロセスを効果的に隠蔽するため、検出と削除を大幅に困難にします。 ### Sonatypeの発見：乗っ取られた孤児パッケージ サプライチェーン管理会社である**Sonatype**も、**AUR**リポジトリを標的とする同様のキャンペーンを詳述したレポートを発表しましたが、「atomic-lockfile」**npm**パッケージを配信するためにわずかに異なる方法を使用しました。**Sonatype**の研究者は、攻撃者が**AUR**上の少なくとも20個の孤児パッケージを乗っ取ったことを観察しました。 攻撃者は、**Arch Linux**パッケージのビルド情報を含む**Bash**スクリプトである**PKGBUILD**ファイルを変更し、ポストインストールスクリプトを追加しました。このスクリプトは、通常のパッケージインストールプロセス中に悪意のある「atomic-lockfile」パッケージを取得してインストールするために**npm**を呼び出します。 **Sonatype**の分析は、プロセス、ファイル、ネットワークインターフェイスを隠蔽できる**eBPF**ルートキットへの参照を持つLinux実行可能ファイルの存在を確認しました。このバイナリは情報窃盗機能も示しており、データアーカイブ、マルチパートファイル処理、**HTTP**アップロードの機能があり、堅牢な流出メカニズムを示唆しています。 ### コミュニティの対応とユーザーガイダンス **AUR**のメンテナーは、悪意のあるコミットをすべて特定して削除し、関連アカウントを禁止するために積極的に取り組んでいます。**Arch Linux**のパッケージメンテナーである**Jonathan Grotelüschen**は、コミュニティに対し、遭遇した疑わしいパッケージを報告するよう求めています。 **Arch Linux**ユーザーの場合、一般的に、頻繁に更新され、アクティブでエンゲージメントの高いコミュニティを持つプロジェクトのみを信頼することが推奨されます。ユーザーは以下のことを行うことをお勧めします。 * **Whanos**のレポートで見つかる影響を受けるパッケージのリストを確認する。 * レポートで提供されている侵害の兆候（IOC）を探す。 * **Michael Taggart**が共有した、システム上の「atomic-lockfile」マルウェアをチェックするスクリプトを利用する。 侵害されたパッケージが発見された場合は、ユーザーは直ちにすべての認証情報をローテーションし、**Arch Linux**をゼロから完全に再インストールすることを真剣に検討する必要があります。特に**eBPF**を利用するルートキットの永続的な性質は、標準的なクリーニング作業を生き残る可能性があるため、完全な修復を確実にするためにはシステム全体のワイプが必要になります。