Фахівці з кібербезпеки виявили серйозну загрозу в екосистемі Arch Linux: троян віддаленого доступу Chaos RAT проник до пользувательського репозиторію AUR через підроблені пакети браузерів. Цей інцидент демонструє зростаючі ризики для Linux-користувачів та необхідність посилення заходів безпеки в відкритих репозиторіях.
Механізм атаки через підроблені пакети браузерів
16 липня 2025 року зловмисник під псевдонімом danikpapas завантажив три шкідливі пакети в Arch User Repository: librewolf-fix-bin, firefox-patch-bin та zen-browser-patched-bin. Ці програми маскувалися під оновлення безпеки для популярних веб-браузерів, що робило їх особливо привабливими для користувачів.
Атака була виявлена завдяки пильності спільноти всього через 48 годин після публікації. Користувачі Reddit звернули увагу на підозрілу поведінку давно неактивного акаунта, який раптом почав активно просувати ці пакети в коментарях.
Технічний аналіз шкідливого коду
Дослідження архівних копій розкрило складну схему компрометації. У файлі PKGBUILD всіх трьох пакетів містився параметр source з назвою “patches”, який посилався на контрольований атакувальниками репозиторій GitHub.
Під час обробки пакета система автоматично клонувала зловмисний репозиторій, сприймаючи це як стандартну процедуру встановлення патчів. Однак замість обіцяних виправлень репозиторій містив троян Chaos RAT, який активувався на етапі збирання або інсталяції пакета.
Функціональні можливості Chaos RAT
Chaos RAT являє собою потужний опенсорсний троян віддаленого доступу, сумісний з операційними системами Windows та Linux. Цей малвар надає зловмисникам широкий спектр можливостей для контролю скомпрометованих систем:
• Завантаження та вивантаження довільних файлів
• Виконання системних команд з правами користувача
• Створення reverse shell для віддаленого керування
• Крадіжка облікових даних та конфіденційної інформації
• Встановлення додаткового шкідливого програмного забезпечення
Після успішного встановлення троян встановлював з’єднання з командним сервером за адресою 130.162.225.47:8080, очікуючи інструкції від операторів.
Проблеми безпеки архітектури AUR
Цей інцидент висвітлив критичну вразливість користувальницьких репозиторіїв. На відміну від офіційних репозиторіїв, AUR не має формалізованої процедури перевірки нових пакетів, що означає повну відповідальність користувачів за безпеку встановлюваного програмного забезпечення.
Атакувальники скористалися цією архітектурною особливістю, створивши пакети з правдоподібними назвами та описами. Додатково вони застосували методи соціальної інженерії, просуваючи шкідливі пакети через скомпрометовані акаунти на платформі Reddit.
Заходи захисту та відновлення системи
Команда розробників Arch Linux оперативно випустила рекомендації для потенційно постраждалих користувачів. Першочерговим завданням є перевірка наявності підозрілого виконуваного файлу systemd-initd в директорії /tmp та його негайне видалення при виявленні.
Для запобігання подібним інцидентам у майбутньому експерти радять завжди ретельно аналізувати вміст PKGBUILD-файлів перед встановленням пакетів з AUR, особливо звертаючи увагу на зовнішні джерела та скрипти завантаження.
Цей випадок служить важливим нагадуванням про те, що навіть в екосистемі Linux кібербезпека вимагає постійної пильності. Користувачі повинні критично оцінювати джерела програмного забезпечення та регулярно моніторити свої системи на предмет підозрілої активності. Швидке виявлення та реагування спільноти демонструє ефективність колективного підходу до забезпечення безпеки у відкритих екосистемах.
