Một cuộc tấn công chuỗi cung ứng quy mô lớn nhắm vào Kho lưu trữ Người dùng Arch (AUR) đã ảnh hưởng đến hơn 400 gói được duy trì bởi cộng đồng. Kẻ tấn công đã chèn các tập lệnh build độc hại được thiết kế để triển khai phần mềm độc hại đánh cắp thông tin đăng nhập và tải trọng dạng rootkit trên các hệ thống Linux bị ảnh hưởng. Đây là một ví dụ điển hình về lỗ hổng CVE có thể ảnh hưởng nghiêm trọng đến người dùng.
Chi tiết về Cuộc tấn công Atomic Arch
Chiến dịch này, được các nhà nghiên cứu đặt tên là “Atomic Arch”, được phát hiện vào khoảng ngày 11 tháng 6 năm 2026. Đây là một trong những sự cố AUR quy mô rộng nhất từng được ghi nhận.
Phương thức tấn công
Các tác nhân đe dọa đã nhắm mục tiêu một cách có hệ thống các gói AUR bị bỏ rơi, tức là các dự án đã bị những người bảo trì ban đầu từ bỏ. Chúng chiếm quyền sở hữu các gói này thông qua quy trình chấp nhận tiêu chuẩn của AUR.
Sau khi giành quyền kiểm soát, kẻ tấn công đã sửa đổi các tập lệnh PKGBUILD của gói. PKGBUILD là các tệp hướng dẫn build mà các trình trợ giúp AUR như yay và paru thực thi trong quá trình cài đặt.
Các tệp PKGBUILD độc hại đã được thay đổi để tự động tải xuống và cài đặt hai gói npm độc hại: atomic-lockfile và js-digest. Các gói này đóng vai trò là cơ chế phân phối phần mềm độc hại chính, thực thi trong quá trình build gói tiêu chuẩn mà không kích hoạt cảnh báo rõ ràng cho người dùng cuối.
Phần mềm độc hại và Tác động
Sau khi cài đặt, các gói npm độc hại sẽ triển khai một phần mềm đánh cắp thông tin nhiều giai đoạn, được thiết kế để exfiltrate một loạt dữ liệu nhạy cảm, bao gồm:
- Tệp cookie trình duyệt
- Lịch sử duyệt web
- Thông tin đăng nhập được lưu trữ trong trình duyệt
- Tệp cấu hình ứng dụng
- Dữ liệu từ các ví tiền điện tử
- Các tệp nhạy cảm khác được tìm thấy trên hệ thống
Ngoài việc đánh cắp dữ liệu, phần mềm độc hại còn sử dụng các kỹ thuật duy trì sự tồn tại dạng rootkit. Nó ngụy trang các tiến trình đang hoạt động của mình thành các luồng kernel hợp pháp để né tránh sự phát hiện bởi các trình giám sát tiến trình tiêu chuẩn như ps và htop. Chiến thuật này làm cho việc xác định sau khi xâm nhập trở nên khó khăn hơn đáng kể nếu không có công cụ pháp y chuyên dụng.
Phản ứng và Khuyến nghị
Phản ứng của Arch Linux
Nhóm bảo mật của Arch Linux đã phản ứng nhanh chóng sau khi phát hiện sự cố trên danh sách gửi thư AUR. Những người bảo trì đã hoàn nguyên các commit PKGBUILD độc hại, cấm vĩnh viễn các tài khoản kẻ tấn công vi phạm và công bố một danh sách chi tiết các gói bị ảnh hưởng cho cộng đồng. Quan trọng là, các kho lưu trữ chính thức của Arch ([core], [extra], [multilib]) không bị ảnh hưởng, vì chúng phải tuân theo các quy trình xem xét nghiêm ngặt hơn.
Bạn có thể tham khảo thông báo chính thức tại danh sách gửi thư AUR.
Các bước người dùng cần thực hiện
Người dùng thường xuyên cài đặt các gói AUR nên thực hiện các bước sau ngay lập tức để giảm thiểu nguy cơ bảo mật:
- Kiểm tra và xóa bất kỳ gói nào được liệt kê trong danh sách các gói bị ảnh hưởng.
- Xem xét lịch sử build của các gói AUR gần đây đã cài đặt để phát hiện các thay đổi đáng ngờ.
- Cập nhật các trình trợ giúp AUR và các công cụ liên quan lên phiên bản mới nhất.
- Thay đổi mật khẩu và thông tin đăng nhập quan trọng, đặc biệt nếu có bất kỳ nghi ngờ nào về việc thông tin bị lộ.
- Cân nhắc tạm dừng cài đặt các gói AUR cho đến khi có thêm thông tin về các biện pháp phòng ngừa.
Xu hướng Tấn công Chuỗi Cung ứng
Sự cố này phản ánh một xu hướng ngày càng tăng của các cuộc tấn công chuỗi cung ứng nhắm vào các kho lưu trữ gói trên nhiều hệ sinh thái khác nhau. Các nhà nghiên cứu tại Sonatype đã đặc biệt mô tả chiến dịch Atomic Arch như một chiến lược cố ý nhắm vào các gói đáng tin cậy đã bị bỏ rơi với cơ sở cài đặt hiện có, nhằm tối đa hóa phạm vi nạn nhân đồng thời giảm thiểu sự giám sát.
Mô hình tin cậy cộng đồng của AUR, mặc dù là một điểm mạnh về tính sẵn có của gói, nhưng tiếp tục trình bày một mối đe dọa hệ thống mà sự cảnh giác của cá nhân không thể giảm thiểu hoàn toàn nếu không có những thay đổi chính sách cấu trúc xung quanh việc chấp nhận các gói bị bỏ rơi.
Việc hiểu rõ các kỹ thuật tấn công và cách thức hoạt động của chúng là rất quan trọng để xây dựng các biện pháp phòng thủ hiệu quả. An toàn thông tin đòi hỏi sự cảnh giác liên tục và cập nhật kiến thức về các phương thức mới nhất của kẻ tấn công.
