Arch Linux AUR Paketlerini Hedef Alan Kritik Enfeksiyon: Geliştirici Sırlarını Çalan ve eBPF Rootkit Yüklenen Saldırı
By Mag-Info Tech editorial · 2026-06-13
Geçtiğimiz hafta Arch Linux’un topluluk paket deposu AUR’da (Arch User Repository) yer alan 400’den fazla paketin derleme betikleri saldırganlar tarafından değiştirildi. Değiştirilen bu betikler, paketleri kuran veya güncelleyen kullanıcıların makinelerine Rust dilinde yazılmış bir credential stealer (kimlik bilgisi çalıcı) yükledi. Saldırı, yalnızca derleme talimatlarını hedef alması ve paketlerin kendilerinde herhangi bir değişiklik yapılmamış olması nedeniyle özellikle tehlikeli. Bu durum, saldırının Arch Linux’un resmi depolarına değil, topluluk kaynaklarına yönelik olduğunu ve güven modelini doğrudan hedef aldığını gösteriyor.
Saldırıda kullanılan malware, geliştirici makinelerinden ve CI/CD sistemlerinden gizli bilgileri çalmayı amaçlayan bir Rust binary olarak derlenmiş durumda. Bu binary, root yetkileriyle çalıştığında ise sistemde gizlenmek için bir eBPF rootkit’i de yükleyebiliyor. Saldırganlar, uzun süredir bakımı yapılmayan ve terk edilmiş paketleri ele geçirerek bu paketlerin bakımını üstlendiklerini iddia ediyorlar. Aynı zamanda, sahte Git commit metadata’ları kullanarak değişikliklerin uzun süredir paketi yöneten güvenilir bir kullanıcıdan geldiği izlenimini yaratıyorlar. Bu sayede kullanıcıların güvenini kazanmaya çalışıyorlar.
Saldırının detaylarına bakıldığında, saldırganların öncelikle bakımı yapılmayan paketleri hedef aldığı görülüyor. Bu paketlerin bakımını üstlenen saldırganlar, PKGBUILD veya .install dosyalarını düzenleyerek derleme sürecinde npm install atomic-lockfile komutunu çalıştırıyorlar. Bu komut, malicious bir npm paketi olan atomic-lockfile@1.4.2’yi ve aralarında masum paketlerin de bulunduğu birkaç paketi daha kurulum sırasında indiriyor. atomic-lockfile paketi, preinstall hook özelliğini kullanarak derleme sırasında deps adlı bir Linux ELF binary’sini çalıştırıyor. Bu binary, kullanıcının sisteminde çalışmaya başlıyor ve credential stealer olarak görev yapıyor.
AUR Nedir ve Neden Bu Saldırı Önemli?
Arch User Repository (AUR), Arch Linux kullanıcıları tarafından geliştirilen ve bakımı yapılan, resmi depolarda yer almayan paketlerin toplandığı bir depodur. AUR, kullanıcıların ihtiyaç duydukları yazılımlara erişimini kolaylaştırsa da, bu paketlerin güvenliği tamamen topluluk tarafından sağlanmaktadır. Resmi Arch depoları ise Arch ekibi tarafından doğrudan denetlenir ve güvenlik kontrollerinden geçer. Bu nedenle, AUR’daki bir paketin güvenliği, paketi yöneten kullanıcının sorumluluğundadır.
Bu saldırıda, saldırganlar AUR’daki terk edilmiş paketleri hedef alarak, bu paketlerin bakımını üstlendiklerini iddia etmişlerdir. Bu sayede, kullanıcıların güvenini kazanmış ve paketlerin orijinaline oldukça benzer şekilde görünmesini sağlamışlardır. Saldırganlar, paketlerin derleme betiklerini değiştirerek, kullanıcıların sistemlerine doğrudan erişim sağlamışlardır. Bu durum, AUR’un güvenlik modelinin ne kadar kırılgan olduğunu gözler önüne sermektedir.
Ayrıca, saldırının sadece credential stealer ile sınırlı kalmadığı da görülüyor. Root yetkisiyle çalışan sistemlerde, malware bir eBPF rootkit’i de yükleyebiliyor. eBPF (extended Berkeley Packet Filter), Linux çekirdeğinde çalışan ve ağ trafiğini izlemek veya sistem performansını analiz etmek için kullanılan bir teknolojidir. Rootkit’ler ise sistemde gizlenerek kötü amaçlı faaliyetleri sürdürmek için kullanılır. Bu durum, saldırının sadece veri hırsızlığıyla sınırlı kalmayıp, sistemlerin uzun vadeli olarak kontrol altında tutulmasını da hedeflediğini göstermektedir.
Saldırı Nasıl Gerçekleşti? Adım Adım İnceleme
Saldırının ilk adımı, saldırganların terk edilmiş ve bakımı yapılmayan AUR paketlerini hedef almasıdır. Bu paketler, uzun süredir güncellenmeyen ve bakımcısı olmayan paketlerdir. Saldırganlar, bu paketlerin bakımını üstlendiklerini iddia ederek, paketlerin PKGBUILD veya .install dosyalarını değiştirmişlerdir. Bu değişiklikler, paketin orijinaline oldukça benzer şekilde görünmesini sağlamıştır.
Değiştirilen dosyalarda yapılan en önemli değişiklik, derleme sürecine npm install atomic-lockfile komutunun eklenmesidir. Bu komut, malicious bir npm paketi olan atomic-lockfile@1.4.4’ü ve birkaç masum paketi de indirmektedir. atomic-lockfile paketi, npm’in preinstall hook özelliğini kullanarak, derleme sırasında deps adlı bir Linux ELF binary’sini çalıştırır. Bu binary, kullanıcının sisteminde credential stealer olarak görev yapar.
Saldırganlar, ayrıca sahte Git commit metadata’ları kullanarak değişikliklerin uzun süredir paketi yöneten güvenilir bir kullanıcıdan geldiği izlenimini yaratmışlardır. Bu sayede, kullanıcıların paketlere olan güvenini kazanmışlardır. Saldırının bu yönü, saldırganların sadece teknik olarak değil, sosyal mühendislik açısından da ne kadar gelişmiş olduklarını göstermektedir.
Malware’in Yapısı ve Çalışma Prensibi
Saldırıda kullanılan malware, Rust dilinde yazılmış bir credential stealer olarak derlenmiştir. Bu binary, geliştirici makinelerinden ve CI/CD sistemlerinden gizli bilgileri çalmayı amaçlamaktadır. Örneğin, SSH anahtarları, API anahtarları, parola yöneticilerindeki veriler ve diğer hassas bilgiler hedef alınmaktadır. Bu bilgiler, saldırganların kontrolündeki bir sunucuya HTTP üzerinden temp.sh adresine gönderilmektedir.
Malware’in bir diğer önemli özelliği ise eBPF rootkit’i yükleyebilmesidir. Root yetkisiyle çalışan sistemlerde, malware sistemde gizlenmek için bir eBPF rootkit’i yükleyebilir. Bu rootkit, sistemdeki diğer süreçleri ve dosyaları gizleyerek malware’in tespit edilmesini zorlaştırır. Ayrıca, malware bir systemd hizmeti olarak da kurulabilir. Root yetkisiyle çalışan sistemlerde, malware /var/lib/ dizinine kopyalanır ve /etc/systemd/system/ altında bir hizmet dosyası oluşturulur. Root yetkisi olmayan kullanıcılarda ise malware kullanıcının ev dizinine ve ~/.config/systemd/user/ altında bir hizmet dosyası oluşturularak çalıştırılır.
Malware’in komuta ve kontrol (C2) sistemi, Tor onion servisi üzerinden bir yerel döngü proxy’si aracılığıyla yönetilmektedir. Bu sayede, saldırganların kimlikleri gizlenirken, malware’in kontrolü de sürekli olarak sağlanmaktadır. Ayrıca, malware’in sürekli olarak çalışmasını sağlamak için systemd hizmetine Restart=always seçeneği eklenmiştir.
Kullanıcıların Alması Gereken Önlemler
Real results from MEFAI's AI. Get $50 off the Pro plan.
Sponsored · Past performance is not indicative of future results. Not financial advice.
Bu saldırıdan etkilenmemek için kullanıcıların öncelikle AUR’daki paketleri kurarken veya güncellerken dikkatli olmaları gerekmektedir. Arch Linux’un resmi depoları bu saldırıdan etkilenmemiştir, ancak AUR’daki paketlerin güvenliği kullanıcıların sorumluluğundadır. Kullanıcıların, paketleri kurmadan veya güncellemeden önce paketin bakımcısını ve son değişiklik tarihini kontrol etmeleri önemlidir.
Ayrıca, kullanıcıların sistemlerinde yüklü olan AUR paketlerini kontrol etmeleri ve saldırıdan etkilenen paketleri kaldırmaları gerekmektedir. Arch Linux topluluğu, saldırıdan etkilenen paketlerin listesini yayınlamaktadır. Kullanıcıların, bu listeleri düzenli olarak kontrol etmeleri ve etkilenen paketleri kaldırmaları önerilmektedir. Etkilenen paketlerden bazıları arasında alvr ve premake-git gibi popüler paketler bulunmaktadır.
Sistemlerinde root yetkisiyle çalışan kullanıcıların, sistemlerinde yüklü olan tüm paketleri ve hizmetleri gözden geçirmeleri de önemlidir. Özellikle systemd hizmetleri ve /etc/systemd/system/ dizinindeki dosyalar dikkatlice incelenmelidir. Saldırıdan etkilenen sistemlerde, malware’in systemd hizmeti olarak kurulmuş olabileceği unutulmamalıdır.
Geliştiricilerin ve Kurumların Alması Gereken Önlemler
Geliştiriciler ve kurumlar, bu saldırıdan dersler çıkarmalı ve güvenlik uygulamalarını gözden geçirmelidir. Öncelikle, geliştiricilerin AUR’daki paketleri kurarken veya kullanırken dikkatli olmaları gerekmektedir. Paketlerin bakımcısını ve son değişiklik tarihini kontrol etmek, güvenlik açısından önemlidir.
Ayrıca, geliştiricilerin sistemlerinde yüklü olan tüm paketleri ve hizmetleri düzenli olarak gözden geçirmeleri gerekmektedir. Özellikle systemd hizmetleri ve /etc/systemd/system/ dizinindeki dosyalar dikkatlice incelenmelidir. Saldırıdan etkilenen sistemlerde, malware’in systemd hizmeti olarak kurulmuş olabileceği unutulmamalıdır.
Kurumlar ise, geliştiricilerin sistemlerine erişimini sınırlandırmalı ve çok faktörlü kimlik doğrulamasını uygulamalıdır. Ayrıca, geliştiricilerin sistemlerinde yüklü olan tüm paketleri ve hizmetleri düzenli olarak denetlemeleri ve güvenlik açıklarını tespit etmek için otomatik araçlar kullanmaları gerekmektedir.
Gelecekteki Tehditler ve Saldırı Yöntemlerinin Evrimi
Bu saldırı, saldırganların güven modelini hedef alarak nasıl başarılı olduklarını göstermektedir. Gelecekte, saldırganların benzer teknikleri kullanarak diğer topluluk depolarını da hedef alabileceği öngörülmektedir. Bu nedenle, kullanıcıların ve geliştiricilerin topluluk depolarındaki paketleri kullanırken daha dikkatli olmaları gerekmektedir.
Ayrıca, saldırganların sosyal mühendislik tekniklerini kullanarak kullanıcıların güvenini kazanmaya çalıştıkları görülmektedir. Bu durum, kullanıcıların paketleri kurmadan veya güncellemeden önce bakımcısını ve son değişiklik tarihini kontrol etmelerinin önemini ortaya koymaktadır.
Son olarak, saldırganların eBPF rootkit’i gibi gelişmiş teknikleri kullanarak sistemlerde gizlenmeye çalıştıkları görülmektedir. Bu durum, güvenlik uzmanlarının ve kullanıcıların sistemlerini düzenli olarak denetlemeleri ve güvenlik açıklarını tespit etmek için otomatik araçlar kullanmaları gerektiğini göstermektedir.
Sonuç: Arch Linux Kullanıcıları İçin Kritik Önlemler
Arch Linux’un AUR deposunda gerçekleşen bu saldırı, topluluk kaynaklarının güvenliğinin ne kadar önemli olduğunu bir kez daha gözler önüne sermektedir. Saldırı, sadece credential stealer ile sınırlı kalmayıp, eBPF rootkit’i gibi gelişmiş teknikleri de kullanarak sistemlere uzun vadeli erişim sağlamayı hedeflemiştir. Bu durum, kullanıcıların ve geliştiricilerin güvenlik uygulamalarını gözden geçirmeleri ve gerekli önlemleri almaları gerektiğini göstermektedir.
Kullanıcıların, AUR’daki paketleri kurarken veya güncellerken dikkatli olmaları, paketlerin bakımcısını ve son değişiklik tarihini kontrol etmeleri gerekmektedir. Ayrıca, sistemlerinde yüklü olan tüm paketleri ve hizmetleri düzenli olarak gözden geçirmeleri ve saldırıdan etkilenen paketleri kaldırmaları önemlidir. Geliştiriciler ve kurumlar ise, sistemlerine erişimi sınırlandırmalı, çok faktörlü kimlik doğrulamasını uygulamalı ve güvenlik açıklarını tespit etmek için otomatik araçlar kullanmalıdır.
Son olarak, bu saldırı, saldırganların güven modelini hedef alarak nasıl başarılı olduklarını göstermektedir. Gelecekte benzer saldırıların artabileceği öngörülmektedir. Bu nedenle, kullanıcıların ve geliştiricilerin topluluk depolarındaki paketleri kullanırken daha dikkatli olmaları ve güvenlik uygulamalarını sürekli olarak güncellemeleri gerekmektedir.
More in Cybersecurity & Privacy
Maine’in Veri İhlali Bildirim Portalı Kapatıldı: Sahte İhlallerin Yükselişi ve Siber Güvenlikteki Riskler
Maine eyaleti, sahte veri ihlali bildirimleri nedeniyle kamu portalını geçici olarak kapattı. Siber güvenlik uzmanları, otomatik yayınlanan ihlallerin kötüye kullanılabileceği risklere dikkat çekiyor.
Oracle PeopleSoft’deki Kritik Sıfır Gün Açığı Yüzlerce Kurumu Etkiliyor: Veri Hırsızlığı ve Fidye Talepleri
Oracle’ın PeopleSoft yazılımındaki kritik sıfır gün açığı, ShinyHunters grubu tarafından 100’den fazla kuruma saldırıda kullanıldı ve en az bir fidye ödemesiyle sonuçlandı.
Japon enerji şirketi, 10,9 milyon müşterisinin verisini kaybetti: fiziksel güvenlik ihlali nasıl oldu ve sonuçları neler?
Japonya’nın önde gelen elektrik şirketlerinden Kyushu Electric’in verilerini taşıyan harici sürücü, fiziksel güvenlik ihlaliyle kayboldu. 10,9 milyon müşteriyi etkileyen olayda banka bilgileri korunmu