แฮกเกอร์ยึดแพ็กเกจ AUR กว่า 400 รายการ ฝังมัลแวร์ขโมยข้อมูลนักพัฒนา
แฮกเกอร์เข้ายึดครองแพ็กเกจ AUR กว่า 400 รายการใน Arch Linux ฝังมัลแวร์ Rust ขโมยข้อมูลนักพัฒนา ควรตรวจสอบและป้องกันทันที
แฮกเกอร์สามารถเข้ายึดครองแพ็กเกจใน Arch User Repository หรือ AUR มากกว่า 400 รายการในช่วงสัปดาห์นี้ และแก้ไขสคริปต์การ build เพื่อติดตั้งมัลแวร์ขโมยข้อมูลลงในเครื่องของผู้ที่ทำการ build แพ็กเกจดังกล่าว
มัลแวร์ดังกล่าวเป็นซอฟต์แวร์ที่เขียนด้วยภาษา Rust ซึ่งถูกสร้างขึ้นมาเพื่อขโมยความลับของนักพัฒนาโดยเฉพาะ เมื่อมัลแวร์ทำงานด้วยสิทธิ์ root มันยังสามารถโหลด eBPF rootkit เพื่อซ่อนตัวจากระบบได้ AUR เป็นคลังแพ็กเกจชุมชนของ Arch Linux ที่แยกออกจากคลังหลัก
รายละเอียดการโจมตี
ผู้โจมตีใช้วิธีการเข้าถึงบัญชีผู้ดูแลแพ็กเกจและแก้ไขสคริปต์ PKGBUILD ซึ่งเป็นไฟล์ที่ใช้ในการ build แพ็กจจากซอร์สโค้ด โดยการเพิ่มโค้ดที่เป็นอันตรายลงไป เมื่อผู้ใช้ทำการติดตั้งแพ็กเกจผ่าน AUR Helper หรือคำสั่ง makepkg มัลแวร์จะถูกดาวน์โหลดและทำงานทันที
เป้าหมายของมัลแวร์ Rust
มัลแวร์ที่ถูกฝังมีจุดประสงค์หลักในการขโมย credential และข้อมูลสำคัญของนักพัฒนา เช่น SSH keys, API tokens, และรหัสผ่านต่างๆ ที่เก็บไว้ในเครื่อง โดยใช้ภาษา Rust ในการเขียนเพื่อให้ทำงานได้อย่างรวดเร็วและหลบเลี่ยงการตรวจจับได้ดีขึ้น
ผลกระทบต่อชุมชน Arch Linux
เหตุการณ์นี้ส่งผลกระทบอย่างรุนแรงต่อชุมชนผู้ใช้ Arch Linux โดยเฉพาะนักพัฒนาที่ใช้ AUR ในการติดตั้งซอฟต์แวร์ที่ไม่ใช่ทางการ ผู้ใช้ที่ติดตั้งแพ็กเกจที่ถูกโจมตีอาจสูญเสียข้อมูลสำคัญและถูกแฮกเกอร์เข้าถึงระบบได้
แนวทางการป้องกัน
ผู้ใช้ควรตรวจสอบความถูกต้องของแพ็กเกจก่อนการติดตั้ง ใช้ GPG signature verification และอัปเดตระบบอยู่เสมอ นอกจากนี้ ควรหลีกเลี่ยงการติดตั้งแพ็กเกจจากแหล่งที่ไม่น่าเชื่อถือ และใช้ Docker หรือ VM สำหรับการทดสอบแพ็กเกจที่ไม่มั่นใจ
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINE ดูสินค้าทั้งหมด