Arch Linux kullanıcılarını ilgilendiren yeni bir güvenlik olayı ortaya çıktı. Arch User Repository (AUR) üzerinde yer alan 400’den fazla pakete zararlı kod eklendiği belirlenirken saldırının kullanıcıların kimlik bilgileri ile erişim anahtarlarını hedeflediği açıklandı. Güvenlik araştırmacıları, etkilenen paketleri yükleyen kullanıcıların sistemlerini kontrol ederek gerekli önlemleri gecikmeden almalarını öneriyor.

Zararlı Kodlar Geliştirici Araçlarını Hedef Aldı

Bağımsız güvenlik araştırmacılarının paylaştığı bulgular, saldırganların AUR üzerindeki güven ilişkisini kullanarak çok sayıda paketi ele geçirdiğini gösteriyor. İncelemelere göre saldırgan, güvenilir görünen bir bakım hesabını taklit ederek zararlı değişiklikleri paketlere ekledi. Böylece güncelleme yapan ya da yeni yazılım kuran kullanıcılar farkında olmadan kötü amaçlı bileşenleri sistemlerine indirebildi.

Analizler, saldırının merkezinde “atomic-lockfile” isimli zararlı bir npm paketinin bulunduğunu ortaya koydu. Paket kurulum sürecine eklenen komut dosyaları, kullanıcı müdahalesi olmadan bu bileşeni indirerek çalıştırıyor. Ardından sistemde etkinleşen Linux rootkit bileşeni, daha yüksek yetkiler elde etmeye çalışırken yerel süreçleri gizleyebilen eBPF tabanlı işlevlerden yararlanabiliyor. Güvenlik uzmanları, bu yaklaşımın klasik zararlı yazılımlara göre tespit edilmesini zorlaştırdığı değerlendirmesinde bulunuyor.

👉️ İlginizi Çekebilir: Microsoft Windows Güncelleme Hatasını Giderdi: Kurumsal Sistemlerde Sorun Çözüldü

Araştırmacılar, zararlı yazılımın özellikle geliştiricilerin kullandığı sistemleri hedef aldığına dikkat çekiyor. İncelemelerde GitHub hesap bilgileri, SSH anahtarları, HashiCorp Vault erişim belirteçleri, tarayıcı çerezleri, Slack, Discord, Microsoft Teams ile Telegram verilerinin hedef alındığı görüldü. Elde edilen bilgilerin sıkıştırılarak uzak sunuculara aktarılabilecek şekilde tasarlanmış olması, saldırının veri hırsızlığı amacı taşıdığına işaret ediyor.

Etkilenen Kullanıcıların Hızlı Hareket Etmesi İsteniyor

Farklı bir güvenlik araştırması da saldırganların en az 20 sahipsiz paketi ele geçirerek PKGBUILD dosyalarını değiştirdiğini ortaya koydu. Yapılan değişikliklerle kurulum sonrasında otomatik çalışan komutlar eklenirken zararlı npm paketi sisteme sessiz şekilde yüklenebiliyor. İki farklı araştırmanın ulaştığı bulgular, saldırganların benzer hedefe farklı yöntemlerle ulaştığını gösteriyor.

Arch Linux geliştiricileri, tespit edilen zararlı değişiklikleri kaldırmak için çalışmalarını sürdürürken ilgili hesapların platformdan uzaklaştırıldığını açıkladı. Topluluk yöneticileri, şüpheli paketlerle karşılaşan kullanıcıların bunları rapor etmelerini isterken yalnızca aktif geliştirilen ve güvenilir topluluk desteğine sahip projelerin tercih edilmesini tavsiye ediyor.

Uzmanlar ise etkilenen paketlerden herhangi birini yükleyen kullanıcıların yalnızca zararlı dosyaları silmekle yetinmemesi gerektiğini belirtiyor. Güvenlik ekipleri, tüm parolaların değiştirilmesini, erişim anahtarlarının yenilenmesini, sistemde zararlı yazılım taraması yapılmasını öneriyor. Rootkit bileşenlerinin sistemde kalıcılık sağlayabilmesi nedeniyle bazı durumlarda işletim sisteminin sıfırdan yeniden kurulması en güvenli seçenek olarak değerlendiriliyor.