اختراق حزم آرتش لينكس: سرقة بيانات المطورين في حملة واسعة

تعرض مستودع AUR الخاص بنظام آرتش لينكس لاختراق أمني ضخم طال مئات الحزم البرمجية، حيث تم دمج برمجيات خبيثة تهدف لسرقة بيانات المطورين والتحكم في الأنظمة.

كيف تم اختراق حزم آرتش لينكس وما هي حملة Atomic Arch؟

وفقاً لما تابعه فريق تيكبامين، فقد سيطر مهاجمون على أكثر من 400 حزمة في مستودع آرتش للمستخدمين (AUR) خلال الأسبوع الماضي. قام المهاجمون بإعادة كتابة برامج التثبيت (build scripts) لزرع برمجية خبيثة تسرق البيانات من أي جهاز يقوم ببناء هذه الحزم.

تعتمد هذه الهجمة، التي أطلق عليها الباحثون اسم Atomic Arch، على استغلال نموذج الثقة في المجتمع بدلاً من وجود ثغرة برمجية في النظام نفسه. الحزم المخترقة احتفظت بأسمائها وتاريخها، مما جعل المستخدمين يثقون بها دون الاشتباه في التغييرات الخبيثة التي طرأت على تعليمات البناء فقط.

ما هي الأساليب التي استخدمها المخترقون للسيطرة على الحزم؟

اعتمد المهاجمون استراتيجية ذكية للسيطرة على الحزم البرمجية، وتتمثل الخطوات فيما يلي:

• تبني المشاريع المهجورة: بحث المهاجمون عن الحزم التي تخلى عنها مطوروها الأصليون وقاموا بتبنيها بشكل رسمي.
• تزييف البيانات: قام المهاجمون بتزييف بيانات التزام (git commit) لتظهر التغييرات وكأنها صادرة عن مطورين قدامى موثوقين.
• حقن البرمجيات الخبيثة: تم تعديل ملفات PKGBUILD لتشغيل أمر تحميل حزمة npm خبيثة تسمى atomic-lockfile أثناء عملية بناء البرنامج.

بمجرد بناء الحزمة، يتم تشغيل ملف تنفيذي بلغة Rust يسمى deps، وهو المسؤول عن تنفيذ المهام التجسسية وسرقة البيانات الحساسة من جهاز المطور.

ما هي البيانات التي تسرقها برمجية اختراق حزم آرتش لينكس؟

تستهدف البرمجية الخبيثة محطات العمل الخاصة بالمطورين وأنظمة البناء لجمع معلومات بالغة الأهمية، تشمل:

• مفاتيح SSH الخاصة بالوصول للخوادم.
• كلمات المرور وملفات تعريف الارتباط (Cookies) من المتصفحات.
• متغيرات البيئة (Environment Variables) التي قد تحتوي على مفاتيح API.
• بيانات الاعتماد الخاصة بمزودي الخدمات السحابية.
• الملفات السرية المخزنة في المجلدات الرئيسية للمستخدمين.

كما أشار تقرير تيكبامين إلى أن البيانات المسروقة يتم إرسالها عبر بروتوكول HTTP إلى خادم مؤقت، بينما تدار عمليات التحكم والسيطرة (C2) عبر شبكة Tor لضمان سرية هوية المهاجمين.

تقنيات التخفي والاستمرار في النظام

تستخدم البرمجية الخبيثة خدمة systemd لضمان العمل الدائم حتى بعد إعادة تشغيل الجهاز. إذا حصلت البرمجية على صلاحيات الجذر (Root)، فإنها تقوم بنسخ نفسها في مسارات النظام المحمية مثل /var/lib/ وتنشئ وحدة خدمة في /etc/systemd/system/.

علاوة على ذلك، تتضمن البرمجية ميزة اختيارية لاستخدام eBPF rootkit، وهي تقنية متطورة تستخدم لإخفاء وجود البرمجية عن أدوات المراقبة التقليدية، لكنها لا تعمل إلا إذا كان المهاجم يمتلك بالفعل صلاحيات كاملة على النظام.

كيف تحمي جهازك وتتأكد من سلامة نظامك؟

إذا قمت بتثبيت أو تحديث أي حزمة من مستودع AUR في أو بعد تاريخ 11 يونيو، فمن الضروري مراجعة قائمة الحزم المتأثرة فوراً. من بين الحزم المؤكد اختراقها حتى الآن حزم مثل alvr و premake-git، والقائمة لا تزال في تزايد.

ينصح خبراء الأمن الرقمي في تيكبامين باتباع الخطوات التالية:

• فحص ملفات PKGBUILD يدوياً قبل بناء أي حزمة من AUR.
• تجنب تثبيت الحزم المهجورة أو التي تم تبنيها حديثاً من قبل جهات غير معروفة.
• تغيير جميع كلمات المرور ومفاتيح الوصول في حال اكتشاف أي نشاط مشبوه.

في الختام، يذكرنا اختراق حزم آرتش لينكس الأخير بأن المستودعات المجتمعية تظل نقطة ضعف أمنية تتطلب حذراً شديداً من قبل المطورين والمستخدمين المتقدمين على حد سواء.