피드로 돌아가기
수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음
GeekNewsGeekNews
Security

수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음

408개 AUR 패키지 대상의 커밋 메타데이터 위조 공급망 공격 발생

neo2026년 6월 12일6intermediate

Context

Arch User Repository(AUR)의 개방형 기여 모델에서 발생하는 메인테이너 신뢰 기반의 검증 체계 한계점 노출. 커밋 메타데이터의 이름과 이메일 정보를 위조하여 정상 메인테이너를 사칭하는 정교한 Impersonation 기법을 통한 공급망 공격 시도.

Technical Solution

  • PKGBUILD, .install, .hook 파일 내 npm install atomic-lockfile 명령 삽입을 통한 악성 페이로드 주입
  • /tmp 디렉토리 내 쉘 실행 및 2>/dev/null 설정을 통한 실행 로그 은폐로 탐지 회피 시도
  • 정규 사용자의 커밋 이력을 도용하는 메타데이터 위조 방식으로 계정 탈취 없이 권한 사칭 구현
  • Read-only Mirror 저장소 전체 ref 대상의 git grep 기반 정밀 스캔을 통한 408개 감염 패키지 식별
  • 커뮤니티 주도의 통합 신고 스레드 운영 및 악성 커밋 초기화와 계정 차단을 통한 즉각적 격리 조치

1. 외부 패키지 설치 전 PKGBUILD 및 설치 스크립트 내 의심스러운 외부 바이너리 실행 명령 확인

2. 단순 커밋 작성자 정보가 아닌 GPG 서명 여부를 통한 기여자 신원 검증 체계 검토

3. 중요 시스템의 경우 최신 업데이트 전 일정 기간의 관찰K-Period를 두는 배포 전략 적용

원문 읽기