AUR 패키지가 정보 탈취기와 루트킷에 감염됨
1 hour ago
3
- AUR 패키지 저장소는 관리되지 않는 패키지를 누구나 채택해 PKGBUILD와 관련 파일 변경을 제출할 수 있는 구조이며, 이번 사건에서 408개 이상 패키지가 감염된 정황이 있음
- 새 AUR 패키지 maintainer가 신뢰받는 maintainer를 사칭해 패키지를 채택했고, 다른 AUR maintainer들이 감염 패키지 제거 작업을 진행함
- 초기 감염 패키지는 preinstall 스크립트로 npm을 실행해 악성 페이로드인 atomic-lockfile 을 설치하도록 바뀌었음
- 이후 감염은 Bun으로 악성 js-digest 를 설치했으며, NPM은 해당 패키지를 제거함
- 대부분의 패키지는 드물게 쓰이지만 범위가 크고, 정보 탈취 행동에 더해 eBPF 루트킷까지 포함된 공급망 공격이라는 점이 중요함
사건 현황
-
무슨 일이 있었나
- 새 AUR 패키지 maintainer가 신뢰받는 maintainer를 사칭해 408개 이상 패키지를 채택하고 감염시킨 정황이 있음
- 침해가 보고된 뒤 다른 AUR maintainer들이 감염된 패키지를 제거하는 작업을 진행함
- 2026-06-12T17:30:00Z 기준 AUR maintainer들은 모든 악성 커밋을 제거했다고 보고 있음
- AUR maintainer들은 패키지 채택 기능을 포함한 일부 기능에 통제와 제한을 적용하기로 함
- Arch Linux는 Active AUR malicious packages incident 공지를 냄
-
악성 의존성
대응 및 침해 지표
-
권장 조치
- Arch를 사용하지 않는 경우 이번 AUR 패키지 침해의 직접 영향 대상이 아님
- Arch 사용자는 영향받은 패키지 목록을 검토하고, 노출 여부 확인 스크립트로 시스템을 점검해야 함
- 원문에 연결된 aur_check.sh는 오래된 버전이며, 최신 확인 대상은 해당 Gist 안내를 따라야 함
- 침해 지표가 발견되면 적절한 포렌식 조사를 위해 시스템을 보존해야 함
- 감염 패키지가 발견되면 일반적인 침해 대응 절차를 따라야 하며, 모든 자격 증명을 교체하고 Arch 재설치를 고려해야 함
- 루트킷 가능성 때문에 시스템 신뢰성을 보장할 수 없게 됨
- 모든 사용자는 네트워크에서 outbound Tor 트래픽을 차단하는 조치를 취해야 함
-
침해 지표
- js-digest에 내장된 악성 Linux 실행 파일의 SHA256은 7883bda1ff15425f2dbe622c45a3ae105ddfa6175009bbf0b0cad9bf5c79b316임
- bpftool map list로 의심스러운 eBPF Maps를 탐지할 수 있음
- 의심스러운 map 이름에는 hidden_pids, hidden_names, hidden_inodes가 있음
-
추가 확인 사항
- 기존 maintainer 계정이 악성 커밋을 수행한 것이 아니라, 알려진 maintainer 계정이 사칭된 것임
- 대부분의 패키지는 드물게 쓰이지만, 408개 이상이라는 감염 범위는 큼
- 정보 탈취 행동에 더해 eBPF 루트킷까지 포함된 공급망 공격은 드문 사례임
- Socket.dev의 atomic-lockfile 페이지는 악성 NPM 패키지의 다운로드 수를 134회로 표시함
- NPM 패키지는 사용자 herbsobering이 유지관리함
- GitHub에서 herbsobering 사용자명을 검색하면 reverse shell/proxy 도구로 보이는 단일 컨테이너 이미지 herbsobering430이 있음
- AUR 패키지 저장소는 패키지가 관리되지 않는 상태로 표시되면 누구나 해당 패키지를 채택하고 PKGBUILD 및 관련 파일 변경을 제출할 수 있음
- 버려진 패키지를 자동으로 찾아 채택하는 방식은 드문 일이 아니며, 관련 배경은 Mastodon 스레드에 있음
-
Homepage
-
개발자
- AUR 패키지가 정보 탈취기와 루트킷에 감염됨
English (US) · 