피드로 돌아가기
AUR 패키지가 정보 탈취기와 루트킷에 감염됨
GeekNewsGeekNews
Security

AUR 패키지가 정보 탈취기와 루트킷에 감염됨

AUR 고아 패키지 권한 탈취를 통한 408개 패키지 Supply Chain Attack 발생

neo2026년 6월 14일15advanced

Context

누구나 관리되지 않는 고아 패키지를 채택할 수 있는 AUR의 오픈 거버넌스 구조가 보안 취약점으로 작용함. 신뢰받는 Maintainer 사칭을 통해 패키지 제어권을 획득하고 PKGBUILD를 변조하는 권한 남용 사례가 발생함.

Technical Solution

  • PKGBUILD 내 preinstall 스크립트에 npm/Bun 실행 로직을 삽입하여 악성 페이로드 자동 설치 유도
  • atomic-lockfile 및 js-digest 패키지를 통한 2단계 악성 의존성 주입 구조 설계
  • eBPF 기반 Rootkit을 탑재하여 hidden_pids, hidden_names 등 시스템 커널 수준의 은폐 메커니즘 구현
  • outbound Tor 트래픽을 통한 C2 서버 통신 및 사용자 정보 탈취 경로 확보
  • 패키지 채택 기능에 대한 통제 및 제한 조치를 통한 무분별한 권한 획득 프로세스 개선
  • bpftool map list를 활용한 eBPF Maps 탐지 기반의 사후 침해 지표(IoC) 분석 체계 적용

1. 외부 패키지 설치 전 PKGBUILD 등 빌드 스크립트 내 네트워크 요청 및 패키지 매니저 실행 로직 전수 검토

2. 커널 수준 은폐 탐지를 위해 eBPF Map 리스트의 비정상적 항목 주기적 모니터링

3. CI/CD 파이프라인 내 의존성 고정(Lockfile) 및 해시 검증을 통한 임의 버전 업데이트 차단

4. 중요 시스템의 경우 VM 수준의 격리 환경에서 패키지 빌드 및 테스트 후 배포

원문 읽기