Infostealers’ı Dağıtan Bir Tedarik Zinciri Saldırısında Ele Geçirilen 400 ‘den Fazla Arch Linux AUR PAKETİ

Arch User Repository'yi (AUR) hedef alan büyük bir tedarik zinciri saldırısı, etkilenen Linux sistemlerine kimlik bilgisi çalma kötü amaçlı yazılımları ve rootkit tarzı yükleri dağıtmak için tasarlanmış kötü amaçlı yapı komut dosyalarını enjekte eden saldırganlarla birlikte 400 'den fazla topluluk tarafından korunan paketi tehlikeye attı. Araştırmacılar tarafından "Atomik Kemer" olarak adlandırılan kampanya, 11 Haziran 2026 civarında tanımlandı ve kaydedilen en geniş çaplı AUR olaylarından birini temsil ediyor. Tehdit aktörleri sistematik olarak yetim AUR paketlerini hedef aldı ve orijinal geliştiricileri tarafından terk edilen ve AUR'IN standart benimseme süreci aracılığıyla sahipliğini iddia eden meşru projeleri hedef aldı. Saldırganlar, kontrol altına alındıktan sonra, yay ve paru gibi AUR yardımcılarının kurulum sırasında yürüttüğü derleme komut dosyaları olan paketlerin PKGBUILD komut dosyalarını değiştirdi. Kötü amaçlı PKGBUILD'ler, iki haydut npm paketini sessizce almak ve yüklemek için değiştirildi: atomik kilit dosyası ve js – digest. Bu paketler, standart paket oluşturma işlemi sırasında son kullanıcılara açık uyarılar tetiklemeden çalışan birincil kötü amaçlı yazılım dağıtım mekanizması olarak hareket etmiştir. Infostealers ile Uzlaşılan AUR PAKETLERİ

Yüklendikten sonra, kötü amaçlı npm paketleri, aşağıdakiler de dahil olmak üzere çok çeşitli hassas verileri sızdırmak için tasarlanmış çok aşamalı bir infostealer yükünü dağıtır:

Tarayıcı kimlik bilgileri — Chromium ve Firefox tabanlı tarayıcılardan kaydedilen şifreler, oturum çerezleri ve otomatik doldurma verileri. SSH özel anahtarları — saldırganların uzak sunuculara ve altyapıya dönmesini sağlar

Sistem ortamı değişkenleri — potansiyel olarak API belirteçlerini, bulut kimlik bilgilerini ve uygulama sırlarını açığa çıkarma

Kripto para cüzdanı verileri — yerel cüzdan dosyalarını ve tohum ifadelerini hedefleme. Veri hırsızlığının ötesinde, kötü amaçlı yazılım, aktif süreçlerini ps ve htop gibi standart süreç monitörleri tarafından tespit edilmekten kaçınmak için meşru çekirdek iş parçacıkları olarak gizleyerek rootkit tarzı kalıcılık teknikleri kullandı.