Back to Blog

แฮกเกอร์เข้ายึดแพ็กเกจ AUR กว่า 400 รายการ ฝังมัลแวร์ขโมยข้อมูลและ eBPF Rootkit

แฮกเกอร์เข้ายึดแพ็กเกจ AUR กว่า 400 รายการ ฝังมัลแวร์ Rust ขโมยข้อมูลและ eBPF Rootkit ซ่อนตัว ส่งผลกระทบต่อผู้ใช้ Arch Linux ทั่วโลก

Sales
1 min read
แฮกเกอร์เข้ายึดแพ็กเกจ AUR กว่า 400 รายการ ฝังมัลแวร์ขโมยข้อมูลและ eBPF Rootkit

เหตุการณ์โจมตีครั้งใหญ่ในโลกโอเพนซอร์สเกิดขึ้นเมื่อแฮกเกอร์สามารถเข้ายึดควบคุมแพ็กเกจใน Arch User Repository หรือ AUR มากกว่า 400 รายการภายในสัปดาห์นี้ โดยมีการแก้ไขสคริปต์บิวด์เพื่อติดตั้งโปรแกรมขโมยข้อมูลประจำตัวบนเครื่องของผู้ใช้งานที่ทำการบิวด์แพ็กเกจดังกล่าว

มัลแวร์ดังกล่าวเป็นไบนารีภาษา Rust ที่ถูกออกแบบมาเพื่อขโมยความลับของนักพัฒนา และหากสามารถรันด้วยสิทธิ์รูทได้ มันจะโหลด eBPF Rootkit เพื่อซ่อนตัวจากระบบปฏิบัติการ ซึ่ง AUR เป็นคลังรวมแพ็กเกจชุมชนของ Arch Linux ที่แยกออกจากแพ็กเกจหลักอย่างเป็นทางการ การโจมตีครั้งนี้นับเป็นภัยคุกคามร้ายแรงต่อวงการพัฒนาและผู้ใช้ Linux


จุดเริ่มต้นของการโจมตี AUR


การโจมตีครั้งนี้เกิดขึ้นเมื่อผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ดูแลแพ็กเกจใน AUR ได้หลายบัญชี จากนั้นจึงทำการอัปเดต PKGBUILD ซึ่งเป็นสคริปต์ที่ใช้ในการบิวด์แพ็กเกจให้ดาวน์โหลดและรันมัลแวร์ Rust โดยอัตโนมัติระหว่างกระบวนการคอมไพล์ ทำให้ผู้ใช้ที่ติดตั้งแพ็กเกจเหล่านี้โดยไม่ตรวจสอบอย่างละเอียดเสี่ยงตกเป็นเหยื่อทันที


มัลแวร์ Rust และความสามารถในการขโมยข้อมูล


มัลแวร์ Rust binary นี้ถูกเขียนขึ้นเพื่อทำหน้าที่เป็น credential stealer หรือโปรแกรมขโมยข้อมูลรับรองความถูกต้องของนักพัฒนา เช่น โทเค็น API คีย์ SSH และข้อมูลลับต่าง ๆ ที่จัดเก็บในเครื่อง เมื่อรันสำเร็จ ข้อมูลที่ถูกขโมยจะถูกส่งต่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม การใช้ภาษา Rust ยังทำให้มัลแวร์ทำงานได้เร็วและตรวจจับได้ยากขึ้นอีกด้วย


eBPF Rootkit อาวุธซ่อนตัวขั้นสูง


ในกรณีที่มัลแวร์สามารถรันด้วยสิทธิ์รูท มันจะทำการโหลด eBPF Rootkit ซึ่งเป็นเทคโนโลยีที่ใช้ในการตรวจสอบและจัดการเคอร์เนลแบบไดนามิก eBPF Rootkit นี้ช่วยให้ผู้โจมตีสามารถซ่อนกระบวนการ ไฟล์ และการเชื่อมต่อเครือข่ายของมัลแวร์จากเครื่องมือตรวจสอบมาตรฐาน ทำให้การตรวจจับและกำจัดมัลแวร์ทำได้ยากยิ่งขึ้น


ผลกระทบต่อชุมชน Arch Linux และโอเพนซอร์ส


เหตุการณ์นี้แสดงให้เห็นถึงช่องโหว่ในโมเดลความปลอดภัยของคลังแพ็กเกจชุมชนที่ต้องพึ่งพาความไว้วางใจจากผู้ดูแลแพ็กเกจจำนวนมาก ผู้ใช้ควรตรวจสอบ PKGBUILD ทุกครั้งก่อนทำการบิวด์ รวมถึงใช้เครื่องมือตรวจสอบความสมบูรณ์ของแพ็กเกจและติดตามประกาศความปลอดภัยจากชุมชน Arch Linux อย่างใกล้ชิดเพื่อป้องกันภัยคุกคามในลักษณะเดียวกันในอนาคต


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด