수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음

• AUR 대응 작업은 악성 커밋을 되돌리거나 삭제하고 관련 계정을 차단하는 데 집중됨
• 추가 악성 패키지는 같은 이메일 스레드의 답장으로 모아 보내도록 요청됨
• AUR 읽기 전용 미러를 검색한 결과, 약 408개 패키지가 PKGBUILD 또는 관련 파일에서 npm install atomic-lockfile을 실행함
• 검색은 AUR GitHub 미러를 복제한 뒤 모든 원격 참조에서 atomic-lockfile 문자열을 찾는 방식으로 수행됨
• 보고가 많이 쌓이자 결과를 한 번 또는 몇 번의 이메일로 집계하자는 요청과 함께 별도 패키지 목록 링크가 공유됨

대응 요청

• AUR의 악성 커밋을 모두 되돌리거나 삭제하고 관련 계정을 차단하는 작업이 진행 중임
• 추가 악성 패키지를 발견하면 같은 이메일 스레드에 답장으로 보내도록 요청함
• 악성 패키지 보고를 하나의 스레드에 모으는 방식이 요구됨

AUR 미러 검색

• AUR의 읽기 전용 미러를 복제해 전체 참조에서 atomic-lockfile 문자열을 검색함
• 사용된 미러는 https://github.com/archlinux/aur.git임
• 검색 명령은 git grep 'atomic-lockfile'을 모든 원격 참조에 대해 실행하는 방식임
• 결과는 PKGBUILD 또는 관련 파일에서 npm install atomic-lockfile을 실행하는 약 408개 패키지 목록임

발견된 패턴

• 여러 패키지의 .install 파일이나 훅 파일에서 npm install atomic-lockfile 명령이 확인됨
• 일부 항목은 /tmp 디렉터리에서 npm install atomic-lockfile과 다른 npm 패키지를 함께 설치하는 훅을 실행함
• 함께 설치되는 패키지로 ora, fast-glob, glob, minimist, axios, commander, execa, uuid, semver 등이 반복적으로 등장함
• 목록은 자동 정리를 돕기 위한 자료로 작성됨

보고 집계 방식

• 많은 보고가 이어지자 이메일을 너무 많이 보내지 않도록 발견 항목을 목록으로 만든 뒤 보내는 방식이 권장됨
• 보고 내용을 하나 또는 몇 개의 이메일로 집계하자는 요청이 나옴
• IRC에서 공유된 별도 목록으로 aur_pkg_list.txt가 전달됨

처리 상태

• 스레드에 올라온 보고가 확인됨
• 이후 한 보고에 대해 처리가 완료됐다는 답변이 이어짐