Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco massiccio ha colpito centinaia di pacchetti nel repository AUR di Arch Linux, diffondendo un rootkit che ha rubato informazioni sensibili. Gli aggressori hanno modificato i file PKGBUILD per includere il malware atomic-lockfile, che ha eseguito binari dannosi durante l'installazione. Il malware ha rubato dati dai browser e dalle applicazioni di messaggistica, utilizzando Tor per comunicare con i server esterni.
L’ecosistema Arch Linux ha subito un massiccio attacco che ha colpito centinaia di pacchetti nel repository AUR. Gli aggressori hanno preso il controllo dei progetti abbandonati, ne hanno salvato i nomi e la cronologia delle modifiche, quindi hanno modificato i file PKGBUILD in modo che, una volta creato il pacchetto, il malware venisse scaricato e lanciato.
Di conseguenza, gli utenti stessi lanciavano payload dannosi in modo totalmente autonomo sulle proprie workstation. L’attacco non ha colpito i repository ufficiali di Arch Linux, ma l’AUR (Arch User Repository), una raccolta gestita dalla comunità di script PKGBUILD. Come riportato dai ricercatori della società Sonatype, gli aggressori hanno cercato deliberatamente pacchi abbandonati lasciati senza sviluppatore.
Dopo aver acquisito il controllo di tali progetti, hanno modificato i file PKGBUILD e .install aggiungendo il comando npm install atomic-lockfile. Il pacchetto dannoso atomic-lockfile versione 1.4.2 è stato scaricato con il pretesto di una normale dipendenza npm. Durante l’installazione, ha eseguito il binario ELF scritto in Rust. Un’analisi eseguita da un ricercatore indipendente Whanos ha dimostrato che si tratta di un vero e proprio infostealer, rivolto principalmente alle workstatio e ai sistemi di sviluppo.
Il malware ha rubato cookie, token e dati di archiviazione locale dai browser Chromium, ha estratto informazioni da Slack, Discord e Microsoft Teams, ha rubato GitHub, npm, HashiCorp Vault e token OpenAI, nonché chiavi SSH, cronologia dei comandi della shell, profili VPN e credenziali Docker e Podman. I dati rubati sono stati trasferiti su un server esterno e la comunicazione con l’infrastruttura di controllo degli aggressori è stata organizzata tramite Tor.
Per imporsi nel sistema, il malware ha creato un servizio systemd con riavvio automatico. Se il processo veniva eseguito come root, il malware si copiava nella directory /var/lib/ e creava un’unità di sistema in /etc/systemd/system/. Durante l’esecuzione come utente normale, venivano utilizzati la directory home e i servizi utente systemd. Inoltre, il rootkit eBPF integrato ha attirato l’attenzione dei ricercatori. Inizialmente era generalmente considerato il componente principale dell’attacco, ma in seguito si è scoperto che il modulo è opzionale e viene caricato solo se sono disponibili i privilegi necessari.
Il rootkit non veniva utilizzato per aumentare i diritti, ma poteva nascondere processi, oggetti di rete e la propria attività agli strumenti di monitoraggio standard. Inizialmente, gli specialisti di Sonatype hanno segnalato circa 20 pacchetti compromessi, ma presto i membri della comunità hanno contato più di 400 progetti infetti, per poi attestarsi sui circa 2000. Successivamente, gli esperti hanno scoperto una seconda ondata di attacchi: invece di atomic-lockfile, gli aggressori hanno iniziato a utilizzare il pacchetto js-digest, che veniva installato e scaricava altri payload dannosi.
Gli amministratori di AUR stanno già lavorando per rimuovere commit dannosi e bloccare gli account associati. Si consiglia agli utenti di esaminare attentamente tutti i pacchetti AUR installati o aggiornati dopo l’11 giugno 2026. Se vengono utilizzati pacchetti infetti, il sistema deve essere considerato compromesso e si consiglia di sostituire immediatamente tutti i token, le chiavi e le credenziali.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]