
Os utilizadores do sistema operativo Linux baseados na distribuição Arch devem redobrar a atenção, pois uma nova campanha maliciosa comprometeu mais de 400 pacotes no repositório AUR. A descoberta foi feita pela comunidade de inteligência independente IFIN, conforme detalhado no relatório da IFIN Network, e complementada pela análise técnica de Whanos, revelando um ataque focado no roubo de credenciais e na instalação de um rootkit avançado com privilégios no núcleo do sistema.
Como o ataque sequestra as tuas instalações
O Arch User Repository, habitualmente usado para aceder às versões mais recentes de software ou a utilitários de nicho que não figuram nos repositórios oficiais, tornou-se o alvo perfeito para cibercriminosos. Devido à sua natureza gerida pela comunidade, o espaço não conta com uma moderação exaustiva a cada carregamento. Os atacantes aproveitaram esta lacuna para assumir o controlo de pacotes órfãos e falsificar a identidade de editores de confiança.
O método passa pela alteração do ficheiro PKGBUILD, que contém as instruções de compilação da aplicação desejada. Durante o processo normal de instalação, um script oculto no código descarrega e executa de forma silenciosa um pacote malicioso através do gestor npm, intitulado atomic-lockfile.
O perigo do rootkit e o roubo massivo de dados
Assim que a carga entra na máquina, o cenário agrava-se rapidamente. A ameaça instala um componente concebido para desviar credenciais e segredos de estações de trabalho de programadores. A extensa lista de alvos inclui bases de dados de cookies dos navegadores, tokens de plataformas de código como o GitHub, artefactos de ligações remotas SSH, chaves de redes virtuais privadas e ficheiros de ferramentas de comunicação diária como o Slack, o Microsoft Teams e o Discord.
Para além de extrair e carregar os teus ficheiros confidenciais para servidores externos através de envios HTTP regulares, o malware tira partido da tecnologia eBPF para operar diretamente no sistema com privilégios máximos. Isto significa que o rootkit consegue esconder processos ativos e ocultar os próprios ficheiros no computador, dificultando enormemente a sua deteção pelos métodos tradicionais de varrimento.
A equipa de manutenção do repositório já se encontra a trabalhar para tentar remover todas as versões comprometidas e banir as contas associadas a estas alterações. Se tens o hábito de instalar soluções a partir do AUR sem verificar o código, deves rever de imediato o teu ambiente de trabalho. Os investigadores de segurança recomendam a alteração de todas as tuas palavras-passe e acesso digitais. Caso encontres sinais ou vestígios deste pacote malicioso, a medida mais prudente passa por formatares a máquina e reinstalares a tua distribuição de raiz, uma vez que um rootkit desta natureza pode facilmente sobreviver a intervenções superficiais de limpeza.












Nenhum comentário
Seja o primeiro!