Siber güvenlik araştırmacıları, Firefox tarayıcı varyantları olarak maskelenmek için tasarlanmış kötü amaçlı paketler aracılığıyla Arch Linux kullanıcılarını hedefleyen sofistike bir tedarik zinciri saldırısı belirlediler.
İki gün sonra Arch Linux Güvenlik Ekibi tarafından algılanmadan ve kaldırılmadan önce, 16 Temmuz 2025’te Arch Kullanıcı Deposu’na (AUR) uzaktan erişim Truva (RAT) kötü amaçlı yazılım içeren üç tehlikeye atılmış paket.
Saldırı Zaman Çizelgesi ve Keşif
Güvenlik ihlali, bilinmeyen bir tehdit aktörünün AUR’a ilk kötü niyetli paketi yüklediği 16 Temmuz 2025’te yaklaşık 20:00 UTC+2’de başladı.
Birkaç saat içinde, aynı kullanıcı hesabı, hepsi tek bir GitHub deposundan elde edilen aynı kötü amaçlı yazılım yüklerini içeren iki ek uzlaşmacı paket dağıttı.
Saldırı, Arch Linux ekibinin 18 Temmuz 2025’te saat 18: 00’de UTC+2 civarında güvenlik olayını belirlemeden ve hitap etmesinden önce yaklaşık 46 saat boyunca tespit edilmedi.
Bu saldırının zamanlaması, AR’den sık sık paketler kuran geliştiriciler ve güvenlik profesyonelleri arasında Arch Linux’un yaygın kullanımı göz önüne alındığında, özellikle ilgilidir.
Tehdit oyuncusu, genellikle temel doğaları nedeniyle yüksek indirme hacimleri alan tarayıcı ile ilgili paketleri hedefleyerek Arch Linux ekosisteminin sofistike bir şekilde anlaşılmasını gösterdi.
Geri ihlal edilen üç paket, alternatif Firefox konfigürasyonları ve tarayıcılar arayan kullanıcıları özel olarak hedefledi.
- librewolf-fix-bin
- firefox-patch-bin
- zen-browser-patched-binLibrewolf-Fix-Bin paketi, gizlilik odaklı Librewolf tarayıcısı için düzeltmeler sunarken, Firefox-Patch-bin ise standart Firefox kurulumları için yamalar önerdi.
Üçüncü paket olan Zen tarayıcısı-Patched-Bin, Zen tarayıcısının kullanıcılarını vaat edilen geliştirmelerle hedef aldı.
Her paket, enfekte olmuş sistemlerde kalıcı uzaktan erişim özellikleri oluşturan komut dosyaları içeriyordu.
Kötü amaçlı yazılım, paket kurulum işlemi sırasında sessizce yürütmek üzere tasarlanmıştır ve potansiyel olarak saldırganlara kullanıcı bilgisi olmadan kapsamlı sistem erişimi sunar.
Güvenlik analistleri, sıçan uygulamasının, deneyimli siber suçluların katılımını gösteren sofistike kaçış teknikleri kullandığını kaydetti.
Arch Linux güvenlik ekibi, kötü niyetli paketler tanımlandıktan sonra hızlı bir şekilde yanıt verdi, bu da AUR’dan ödün verilen üç paketin tamamını hemen kaldırdı ve güvenlik protokollerini başlattı.
Ekip, kullanıcıları yüklü paketlerini incelemeye ve etkilenen yazılımın tüm örneklerini kaldırmaya teşvik eden acil tavsiyeler yayınladı.
Bu paketlerden herhangi birini yükleyen kullanıcılara, şifreleri değiştirmek, sistem günlüklerini gözden geçirmek ve kurulumlarını temiz kaynaklardan potansiyel olarak yeniden inşa etmek de dahil olmak üzere sistemlerinin kapsamlı güvenlik denetimlerini gerçekleştirmeleri tavsiye edilir.
Olay, iyi kurulmuş Linux dağıtımlarında bile toplumun bakımlı paket depolarıyla ilişkili doğal riskleri vurgulamaktadır.
Bu saldırı, açık kaynaklı yazılım ekosistemlerini hedefleyen artan tedarik zinciri eğilimini temsil ediyor.
Olay, tehdit aktörlerinin, güvenlik gözetiminin resmi dağıtım kanallarından daha az katı olabileceği topluluk depolarına giderek daha fazla odaklandığını ve bu da uyanık topluluk izlemesini ekosistem güvenliğini korumak için gerekli kıldığını göstermektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now