An ninh mạng

Hơn 400 gói phần mềm trên Arch Linux AUR bị chiếm quyền để phát tán mã độc và eBPF rootkit

Một chiến dịch tấn công chuỗi cung ứng quy mô lớn đã nhắm vào Arch User Repository (AUR), lạm dụng các gói phần mềm bị bỏ hoang để cài cắm mã độc đánh cắp thông tin và rootkit...

Nguyen Hung
13 Tháng 6, 2026 3 Min Read
2 0

Cộng đồng người dùng Arch Linux đang đối mặt với một chiến dịch tấn công chuỗi cung ứng nghiêm trọng. Kẻ tấn công đã chiếm quyền kiểm soát hơn 400 gói phần mềm trong Arch User Repository (AUR) bằng cách lợi dụng các dự án bị bỏ hoang (orphaned packages), sau đó sửa đổi tập lệnh build để cài cắm mã độc vào máy tính người dùng.

Table Of Content

Phương thức tấn công tinh vi

Thay vì sử dụng các lỗ hổng zero-day hay exploit hệ thống, kẻ tấn công đã nhắm vào mô hình tin tưởng của AUR. Chúng tiếp quản các gói phần mềm không còn người duy trì, sau đó chỉnh sửa file PKGBUILD hoặc tập lệnh .install. Khi người dùng thực hiện build gói, một mã độc được viết bằng Rust sẽ được tải về và thực thi.

Đáng chú ý, kẻ tấn công đã giả mạo metadata của các commit git để khiến những thay đổi này trông như đến từ các maintainer lâu năm, gây khó khăn cho việc phát hiện thủ công.

Mã độc có khả năng gì?

Theo phân tích từ các chuyên gia bảo mật, mã độc này hoạt động như một công cụ đánh cắp thông tin (infostealer) nhắm vào các máy trạm của lập trình viên, bao gồm:

  • Đánh cắp cookie, token và dữ liệu từ trình duyệt (Chrome, Edge, Brave…).
  • Thu thập dữ liệu phiên làm việc từ các ứng dụng Electron (Slack, Discord, Microsoft Teams).
  • Lấy cắp các khóa SSH, token GitHub, npm, HashiCorp Vault và thông tin xác thực Docker/Podman.
  • Sử dụng eBPF rootkit (khi có quyền root) để ẩn tiến trình, tên file và các socket, đồng thời ngăn chặn việc gỡ lỗi.

Mã độc duy trì sự hiện diện thông qua các systemd service, đảm bảo nó tự khởi động lại ngay cả khi người dùng đã khởi động lại máy.

Khuyến nghị cho người dùng

Nếu bạn đã cài đặt hoặc cập nhật bất kỳ gói AUR nào kể từ ngày 11/06/2026, hãy thực hiện các bước sau:

  • Kiểm tra danh sách bị ảnh hưởng: Đối chiếu các gói đã cài đặt với danh sách cảnh báo từ cộng đồng Arch Linux. Tìm kiếm các dấu hiệu như npm install atomic-lockfile hoặc bun install js-digest trong lịch sử build.
  • Xử lý sự cố: Nếu phát hiện gói độc hại, hãy coi như toàn bộ thông tin xác thực trên máy đã bị lộ. Cần thực hiện thay đổi mật khẩu, xoay vòng (rotate) các token API, khóa SSH và các thông tin nhạy cảm khác.
  • Kiểm tra tính toàn vẹn: Quét hệ thống để tìm các file lạ trong /var/lib/, các service systemd không xác định và kiểm tra thư mục /sys/fs/bpf/.
  • Cài đặt lại hệ thống: Nếu mã độc đã chạy với quyền root, cách an toàn nhất là cài đặt lại hệ điều hành từ nguồn tin cậy, vì rootkit có thể đã làm thay đổi nhân hệ thống.

Trong tương lai, người dùng nên thận trọng hơn khi cài đặt các gói AUR, đặc biệt là những gói vừa được tiếp quản bởi maintainer mới hoặc có các thay đổi bất thường trong tập lệnh build.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept