Atomic Arch Saldırısı: AUR'daki 1.900 Paket Nasıl Silah Haline Getirildi?

SafeDep kampanya sayfası ve topluluk tarafından birleştirilen listeler, saldırının devasa erişimini gözler önüne sererek nihayetinde 1.937 etkilenen AUR paket adını sıraladı . Kritik bir nokta olarak, resmi Arch Linux depoları (core, extra, community) bu olaydan etkilenmedi—bu tamamen bir AUR olayıydı .

Saldırı Yöntemi: Güvene Dayalı Bir İş Akışını İstismar Etmek

Atomic Arch, Arch altyapısına yapılan bir sızma değildi. Bunun yerine, AUR'un sahipsiz paket sahiplendirme iş akışını cerrahi bir hassasiyetle istismar etti. Bu süreç, herhangi bir topluluk üyesinin terk edilmiş paketlerin sahipliğini talep etmesine olanak tanır .

Saldırı, faillerin tespit edilmemek için yaklaşımlarını rafine ettiği iki ayrı dalga halinde gerçekleşti.

1. Dalga: npm Kancası (11 Haziran)

Saldırganlar sistematik olarak sahipsiz paketleri sahiplendi. Sürdürücü ayrıcalıklarını ele geçirdiklerinde, yazılımın kaynak kodunu değiştirmediler—bu, sağlama toplamlarını bozacak ve alarmları tetikleyecek bir hareketti. Bunun yerine, PKGBUILD derleme betiklerine zararlı npm bağımlılıkları enjekte ettiler: atomic-lockfile (v1.4.2) ve js-digest (v4.2.2) . Bu paketler, makepkg süreci sırasında otomatik olarak çalışacak şekilde yapılandırıldı. Zararlı aktiviteyi daha da gizlemek için kod, .install betiklerine gömüldü ve kabuk dizesi bölme, karışık tırnaklama ve onaltılık kaçışlar kullanılarak kamufle edildi .

2. Dalga: Bun Geçişi (12 Haziran)

Sadece bir gün sonra ikinci bir dalga ortaya çıktı. Bu sefer saldırganlar, npm kurulum yolunu, lockfile-js (v1.4.2) adlı farklı bir zararlı paket kullanan Bun tabanlı bir kurulum süreci ile değiştirdi . İlk uzlaşma göstergelerinin (IoCs) çoğu npm kayıt defterine odaklandığı ve güvenlik araçlarının yeni çalışma zamanını ve bağımlılığı izlemek için güncellenmesi gerektiği için bu değişiklik tespiti zorlaştırdı .

Saldırganlar, yazılımın kendisi yerine yalnızca derleme talimatlarını zehirleyerek geleneksel bütünlük kontrollerini atlattı. Üst kaynak kodu temiz görünüyordu ve zararlı yazılım yalnızca derleme zamanında getirilip çalıştırılıyordu, bu da onu PKGBUILD betiklerini manuel olarak incelemeyen kullanıcılar için görünmez kılıyordu .

Zararlı Yükler: Hırsız ve Rootkit

Tehlikeye atılan paketleri derleyen makineler, casusluk ve kalıcılık için tasarlanmış iki aşamalı bir yük aldı.

• Rust Tabanlı Kimlik Bilgisi Hırsızı: Tarayıcı oturumları, SSH anahtarları, GitHub jetonları, npm jetonları, Slack/Teams oturumları, Vault jetonları, Docker/Podman kimlik bilgileri ve bulut erişim anahtarları dahil olmak üzere geliştirici sırlarını toplayan odaklanmış bir ikili dosya .
• eBPF Rootkit (Yalnızca Root): Eğer paket root ayrıcalıklarıyla derlenmişse, zararlı yazılım kendi dosyalarını, süreçlerini ve ağ aktivitesini ps ve htop gibi standart tespit araçlarından gizleyebilen bir eBPF rootkit konuşlandırdı. Rootkit, kalıcılık için /sys/fs/bpf/ yolunu kullandı ve bu, kaldırılmasını son derece zorlaştırdı .

Bir kimlik bilgisi hırsızı ve kernel seviyesinde bir rootkit'in birleşimi, özellikle iş istasyonları genellikle ayrıcalıklı erişim anahtarları ve hassas veriler barındıran geliştiriciler için bunu ciddi bir tehdit haline getirdi.

Topluluk ve Geliştirici Yanıtı

Arch Linux topluluğu ve güvenlik sektörü hızla harekete geçti, ancak yanıt saldırının ölçeği nedeniyle karmaşıktı.

• Arch Ekibi Eylemleri: Arch katkıcıları 11 Haziran'da birleştirilmiş bir AUR rapor konusu başlattı ve zararlı commit'leri geri alma, saldırgan hesaplarını yasaklama ve sahipsiz paket havuzunu temizleme sürecini başlattı. Arch Linux ayrıca daha fazla kötüye kullanımı önlemek için takip eden Pazartesi günü AUR'da yeni hesap kayıtlarını askıya aldı . Arch paketleyicisi Jonathan Grotelüschen, ekibin "tüm kötü niyetli commit'leri geri yüklemek veya silmek ve sorumlu hesapları yasaklamak" için çalıştığını doğruladı .
• Topluluk İçi Çatışma: Saldırı yoğun tartışmalara yol açtı. PrivacyGuides forumu gibi platformlardaki hararetli tartışmalarda bazı topluluk üyeleri, güvene dayalı modelin bu ölçekteki bir güvenlik ihlalinde temelden kırıldığını savunarak AUR'un tamamen kapatılması çağrısında bulundu .
• Üçüncü Taraf Yanıtı: Sonatype, Corgea, Bulut Güvenliği İttifakı (CSA) ve TrueSec gibi güvenlik firmaları, kullanıcıların sistemlerini denetlemesine yardımcı olmak için ayrıntılı analizler, Uzlaşma Göstergeleri (IoCs) ve topluluk tespit betikleri (örneğin aur-malware-check) yayınladı .

Önemli bir sürtüşme kaynağı, resmi Arch ekibinin etkilenen tüm paketlerin tek ve kanonik bir listesini hemen yayınlamaması ve kullanıcıları SafeDep ve Corgea gibi kaynaklardan gelen üçüncü taraf listelerine güvenmek zorunda bırakmasıydı .

Linux Ekosistemi İçin Dersler

Atomic Arch saldırısı, gönüllü sürdürücülüğe dayanan güven temelli topluluk depolarındaki yapısal zayıflıkları gözler önüne seriyor.

• Sahipsiz Paket Tuzağı Sistemik Bir Risktir: Herhangi bir kullanıcının kimlik doğrulaması veya zorunlu kod incelemesi olmadan terk edilmiş bir paketi anında sahiplenebilmesi ve değiştirebilmesi, bir kolaylık özelliğini yüksek etkili bir saldırı vektörüne dönüştürdü .
• Derleme Zamanı Enjeksiyonu Bütünlük Kontrollerini Atlatır: Geleneksel savunma mekanizmaları, kaynak kod arşivlerinin bütünlüğünü doğrulamaya dayanır. Atomic Arch, kaynak kodu yerine derleme betiklerini zehirlediği için standart sağlama toplamları hiçbir koruma sağlamadı .
• Ekosistemler Arası Tedarik Zincirleri Yeni Sınırdır: Saldırı, Linux ekosistemine zararlı yazılım dağıtmak için npm ve Bun kayıt defterlerini silah olarak kullandı ve bir kayıt defterindeki tek bir tehlikeye atılmış paketin platformlar arasında kademeli etkilere sahip olabileceğini kanıtladı .

Etkilenen Kullanıcıların Şimdi Ne Yapması Gerekiyor?

Güvenlik araştırmacıları ve Arch topluluğu rehberliği hemfikir: bu, tek bir paketi kaldırmanın yeterli olduğu bir durum değil.

1. Tamamen Tehlikeye Girildiğini Varsayın: 9-12 Haziran 2026 tarihleri arasında bir AUR paketini derleyen veya güncelleyen herhangi bir ana bilgisayarı tamamen tehlikeye girmiş olarak kabul edin .
2. Temiz Medyadan Yeniden Kurulum Yapın: Basit bir zararlı yazılım taraması güvenilir değildir, çünkü eBPF rootkit tespit araçlarından gizlenmek üzere tasarlanmıştır. Garantili tek çözüm, etkilenen sistemi güvenilir kurulum medyasından yeniden oluşturmaktır .
3. Tüm Kimlik Bilgilerini Derhal Değiştirin: Kimlik bilgisi hırsızının makinede erişebildiği tüm sırları sızdırdığını varsayın: SSH anahtarları, GitHub ve npm jetonları, Vault jetonları, bulut erişim anahtarları, tarayıcı oturumları ve Docker/Podman kimlik bilgileri .
4. AUR Geçmişini Denetleyin: Sistemde yüklü tüm harici paketleri listelemek için

   pacman -Qm

   komutunu çalıştırın ve bunları topluluk tarafından yayınlanan zararlı paket listeleriyle çapraz kontrol edin .
5. Uzlaşma Göstergelerini Kontrol Edin: Derleme önbelleklerinde atomic-lockfile, lockfile-js veya js-digest izlerini ve ayrıca /sys/fs/bpf/ altındaki şüpheli girişleri arayın .
6. Bunu bir Olay Müdahale Olayı Olarak Ele Alın: Kuruluşlar bunu basit bir tarama çalışması olarak görmemelidir. Saldırı penceresi sırasında AUR'dan çekme yapan herhangi bir Arch geliştirici iş istasyonu veya CI/derleme sunucusu, tam bir müdahale gerektiren bir güvenlik olayı olarak ele alınmalıdır .