AUR(Arch User Repository)에서 관리자가 버려진 패키지를 통해 악성코드가 유포되었습니다.
2025년에도 아치 피눅스 저장소를 통해 악성코드가 배포된 적이 있습니다.
이때는 신규 패키지에 악성코드가 포함된 경우로 차이가 있습니다.
https://xcoolcat7.tistory.com/91762
아치 (Arch) 리눅스 저장소에서 악성코드 포함된 패키지 발견
Arch 리눅스는 스팀OS 3에서 사용되어 게이머들이 많이 사용하고 있습니다.https://namu.wiki/w/SteamOS SteamOS밸브 코퍼레이션 이 개발한 게임에 특화된 컴퓨터 운영체제 이다. 상세 Arch Linux + KDE Plasnamu.wik
xcoolcat7.tistory.com
Atomic Arch
Atomic Arch: Attackers Hijack Trusted AUR Packages to Deliver Rootkit-Like Malware
https://www.sonatype.com/blog/atomic-arch-npm-campaign-adds-malicious-dependency
Atomic Arch npm Campaign Adds Malicious Dependency
Sonatype researchers uncovered Atomic Arch, a supply chain attack targeting orphaned AUR packages. Learn how attackers are hijacking trusted projects.
www.sonatype.com
AI 요약)
Atomic Arch는 AUR(Arch User Repository)에서 관리자가 버려진(orphaned) 패키지를 정상 스튜어드십 프로세스를 통해 인수한 뒤, PKGBUILD에 post-install 스크립트를 추가하여 npm install atomic-lockfile minimist chalk를 실행합니다. 이로써 피해 시스템에 악성 npm 패키지 atomic-lockfile이 설치됩니다.
분석 결과 atomic-lockfile에는 네이티브 Linux 실행파일이 번들로 포함되어 있으며, eBPF 프로그램(scales.bpf.c)과 libbpf API를 참조합니다. eBPF 관련 기능은 getdents64() 시스템 콜 훅을 참조하고 hidden_pids, hidden_names, hidden_inodes 구조체를 유지하여 프로세스·파일·네트워크 은닉 기능을 수행합니다. 또한 PTRACE_ATTACH와 PTRACE_SEIZE를 통한 디버거 탐지, GitHub 자격증명·SSH 아티팩트·HashiCorp Vault 토큰·브라우저 쿠키 DB·Slack·Discord·Teams·Telegram 데이터 탈취, HTTP multipart POST 업로드를 통한 외부 유출 기능이 확인됩니다.
Atomic Arch 차별점 3가지
1️⃣ 플랫폼 메커니즘 자체를 무기화
기존 공격들은 모두 플랫폼의 취약점이나 허점을 악용합니다. 반면 Atomic Arch는 AUR의 고아 패키지 인수 프로세스 자체를 활용합니다. 공격자가 정상적인 절차로 패키지 소유권을 취득하므로, 플랫폼 입장에서는 악의적 행위가 아닌 정상적인 커뮤니티 활동으로 보입니다.
-> 아직 자동화된 웜 형태인지 공격자가 패키지 소유권을 하나하나 취득했는지는 블로그에 언급되어 있지 않습니다.
2️⃣ 패키지 자체에 악성 코드 없음
axios 침해와 유사하게, 신뢰받는 패키지 자체는 악성 코드를 포함하지 않습니다. 악성 코드는 post-install 시 끌어오는 의존성(atomic-lockfile)에 존재합니다. 전통적인 탐지 도구가 신뢰받는 패키지를 스캔해도 이상을 발견하지 못하는 이유입니다.
-> 소스코드 부분은 건들지 않았지만, 빌드에 필요한 패키지 빌드 지시서(PKGBUILD)는 수정했다고 합니다.
3️⃣ eBPF 기반 루트킷 수준 은닉
Shai-Hulud 계열이 크리덴셜 탈취 후 자가 전파에 집중한다면, Atomic Arch의 페이로드는 커널 수준 스텔스를 구현합니다. eBPF로 프로세스·파일·네트워크 소켓을 숨기는 것은 기존 공급망 공격 페이로드에서 보기 드문 수준이며, 단순한 크리덴셜 탈취를 넘어 장기 지속적 접근(persistence)을 목표로 한다는 점에서 위협의 성격이 다릅니다.
->
다른 블로그에 악성코드의 IOC가 공개되었습니다.
https://ioctl.fail/preliminary-analysis-of-aur-malware/
Preliminary analysis of AUR malware
Malware Analysis Report: deps Report date: 2026-06-11 VT Link Triage Link Note: The following report was very hastily written by Codex. (I have fact-checked it against the IDA decompilation though 🐉) Scope and Handling This report summarizes static reve
ioctl.fail
기사
Over 400 Arch Linux AUR Packages Hijacked to Deploy Infostealer and eBPF Rootkit (2026.06.12)
https://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html
Over 400 Arch Linux AUR Packages Hijacked to Deploy Infostealer and eBPF Rootkit
Attackers hijacked 400+ Arch Linux AUR packages to run a Rust credential stealer, with optional eBPF rootkit support on root systems.
thehackernews.com
2025년, 2026년 저장소 관련 보안 문제는 계속 발생하고 있습니다.
'보안위협 (악성코드, 취약점) > 보안위협 뉴스' 카테고리의 다른 글
| 오퍼레이션 사프론 (Operation Saffron) - First VPN 서비스 중단 (0) | 2026.06.01 |
|---|---|
| GitHub 해킹 - 내부 저장소 악성코드 감염 (0) | 2026.05.25 |
| 버셀 (Vercel) 해킹 - 인포스틸러 감염을 통한 서드파티 AI 툴의 침해까지 (0) | 2026.05.11 |
| 애플 Apple Support App에 Claude.md 포함 사고 (6) | 2026.05.04 |
| Fast16 - 국가 주도 사이버무기 시점이 2005년으로 앞 당겨짐 (0) | 2026.04.27 |