Arch Linux : 400 paquets contaminés, comment vérifier si vous êtes touché ?

Plus de 400 paquets de l'Arch User Repository ont été infectés par un stealer d'identifiants. Découvrez comment vérifier si vous êtes touché et comment...

L’actualité de la sécurité informatique nous rappelle régulièrement que même les systèmes d’exploitation les plus stables et les plus sécurisés peuvent être vulnérables aux attaques malveillantes. Récemment, une campagne d’attaque baptisée Atomic Arch a touché plus de 400 paquets de l’Arch User Repository (AUR), un dépôt de logiciels communautaire pour Arch Linux. Les paquets infectés contiennent un stealer d’identifiants qui peut récupérer des informations sensibles telles que les clés SSH privées, les tokens GitHub, les identifiants npm, Docker et Podman, ainsi que les cookies et mots de passe de navigateurs. Il est essentiel de vérifier si vous êtes touché par cette attaque et de prendre des mesures pour vous protéger.

Comment l’attaque a-t-elle eu lieu ?

L’attaque a été rendue possible par le fait que l’AUR permet à n’importe qui d’adopter des paquets orphelins, c’est-à-dire des paquets qui ont été abandonnés par leurs mainteneurs d’origine. L’attaquant a récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis a modifié leur PKGBUILD pour qu’à l’installation, un hook télécharge en douce un paquet npm piégé. Ce paquet déploie ensuite un binaire qui récupère des informations sensibles. Il est important de noter que les dépôts officiels d’Arch (core, extra, multilib) ne sont pas concernés par cette attaque, mais uniquement l’AUR.

Les utilisateurs d’Arch Linux qui ont installé ou mis à jour un paquet AUR ces derniers jours doivent vérifier si ils sont infectés. Un signe qui peut mettre la puce à l’oreille est un paquet qui n’a rien à voir avec du JavaScript et qui se met à lancer un npm install durant son installation. Pour sortir la liste de tout ce qui vient de l’AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des paquets infectés connus.

Quels sont les risques pour les utilisateurs ?

Les risques pour les utilisateurs sont importants, car le stealer d’identifiants peut récupérer des informations sensibles qui peuvent être utilisées pour accéder à d’autres systèmes. Les clés SSH privées, les tokens GitHub, les identifiants npm, Docker et Podman, ainsi que les cookies et mots de passe de navigateurs sont autant d’informations qui peuvent être utilisées pour compromettre la sécurité des systèmes. De plus, si le paquet est lancé en root, il installe un rootkit eBPF qui se planque dans le noyau pour masquer ses processus, ce qui rend la détection de l’attaque quasi impossible.

Il est essentiel de prendre des mesures pour se protéger contre cette attaque. Les utilisateurs d’Arch Linux doivent vérifier si ils sont infectés et prendre des mesures pour se protéger, telles que la mise à jour de leurs paquets et la vérification de leurs informations sensibles. Il est également important de faire preuve de vigilance lors de l’installation de paquets AUR et de vérifier les sources des paquets avant de les installer.

Comment se protéger contre les attaques similaires ?

Pour se protéger contre les attaques similaires, il est important de prendre des mesures de sécurité supplémentaires. Les utilisateurs d’Arch Linux doivent être vigilants lors de l’installation de paquets AUR et vérifier les sources des paquets avant de les installer. Il est également important de mettre à jour régulièrement les paquets et de vérifier les informations sensibles. De plus, il est recommandé d’utiliser des outils de sécurité tels que des antivirus et des firewalls pour protéger les systèmes contre les attaques malveillantes.

Conclusion et recommandations

En conclusion, l’attaque Atomic Arch est une menace importante pour les utilisateurs d’Arch Linux qui ont installé ou mis à jour des paquets AUR ces derniers jours. Il est essentiel de vérifier si vous êtes infecté et de prendre des mesures pour vous protéger. Les utilisateurs d’Arch Linux doivent être vigilants lors de l’installation de paquets AUR et prendre des mesures de sécurité supplémentaires pour se protéger contre les attaques similaires. Nous recommandons de vérifier régulièrement les informations sensibles et de mettre à jour les paquets pour garantir la sécurité des systèmes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *