6月13日消息,据 The Hacker News 报道,Arch Linux 项目用户仓库 AUR 遭到恶意投毒,超过400个软件包被篡改。攻击者使用一个用 Rust 编写的二进制在构建脚本中植入后门,未更改包名与历史记录,难以察觉。该恶意程序可窃取浏览器(如 Chrome、Edge)Cookie、Token 与本地存储、Electron 应用会话信息、SSH 密钥、GitHub 凭证及 OpenAI/ChatGPT Bearer Token,并将数据上传至 temp.sh;若获得 root 权限,还会加载 eBPF rootkit 以隐藏自身。
6 月 13 日消息,据 The Hacker News 昨天报道,Arch Linux 项目用户仓库 AUR 遭到恶意攻击,超 400 个软件包被投毒,所有编译这些软件包的电脑都有可能被植入恶意程序。
IT之家从原报道了解到,攻击者使用了一个 Rust 编写的二进制程序进行投毒,专门窃取开发者的敏感信息,如果获得 root 权限,他还会加载 eBPF Rootkit 来隐藏自身。
同时,该攻击者没有更改软件包的原有名称、历史记录,仅仅修改了构建脚本,因此几乎看不出来。它能够收集 Chrome、Edge 等浏览器的 Cookie、Token 和本地存储数据,并读取 Electron 架构应用的会话信息,窃取 SSH 密钥、GitHub 凭证、OpenAI / ChatGPT Bearer Token 等信息,并上传至 temp.sh。
参考:
- AUR REPORT THREAD - Aur-general - lists.archlinux.org