کمپین Atomic Arch یک حمله زنجیره تأمین نرمافزار است که شرکت تحقیقاتی Sonatype آن را شناسایی کرده و اکوسیستم لینوکس را از طریق مخزن Arch User Repository (AUR) هدف قرار داده است. در کمپین Atomic Arch، مهاجمان با سوءاستفاده از فرآیند انتقال مالکیت (Ownership Transfer) و تصاحب پکیجهای بدون مالک یا به اصطلاح یتیم (Orphaned Packages)، کنترل بیش از 20 پکیج معتبر را به دست گرفتهاند. آنها بدون دستکاری کد منبع اصلی، فایلهای ساخت و نصب را تغییر دادهاند تا هنگام نصب یا بهروزرسانی، بدافزاری با قابلیتهای شبهروتکیت (Rootkit-like Malware) اجرا شود. حفظ نام اصلی و اعتبار تاریخی این پکیجها باعث شده است تا کاربران بدون کوچکترین تردیدی، نسخههای آلوده را بر روی سیستمهای خود اجرا کنند.
نحوه عملکرد زنجیره حمله در کمپین Atomic Arch
بر اساس یافتههای شرکت Sonatype، در کمپین Atomic Arch مهاجمان بهجای دستکاری کد منبع اصلی اپلیکیشن، دستورالعملهای ساخت را در فایل پیکربندی PKGBUILD بازنویسی میکنند. این رویکرد باعث میشود پکیج در نگاه اولیه کاملاً سالم و معتبر به نظر برسد، در حالی که در زمان نصب یا بهروزرسانی، اسکریپت پس از نصب بهصورت خودکار و بدون اطلاع کاربر اجرا میشود.
این اسکریپت دستکاریشده، دستور زیر را اجرا میکند:
npm install atomic-lockfile minimist chalkدر نتیجه، سیستم قربانی بهطور ناخواسته یک وابستگی مخرب به نام atomic-lockfile را از مخزن ریجستری عمومی npm دریافت و نصب میکند. این پیلود در واقع بخش اصلی بدافزار در این کمپین محسوب میشود.
محققان تأکید کردهاند که خود پکیجهای آلودهشده در ظاهر هیچ نشانهای از تغییر یا آلودگی ندارند و کاملاً عادی به نظر میرسند؛ همین موضوع باعث میشود ابزارهای امنیتی مبتنی بر امضا (signature-based) در تشخیص این تهدید ناکام بمانند.
در نهایت، Sonatype Research Labs این وابستگی مخرب را با شناسه Sonatype-2026-003775 ردیابی کرده و بر اساس معیار CVSS 8.7 برای آن شدت بالا (high severity) را در نظر گرفته است.
تکنیکهای مخفیسازی در کمپین Atomic Arch
در بررسیهای فنی، محققان شرکت Sonatype دریافتند پکیج atomic-lockfile شامل یک باینری اجرایی بومی لینوکس است. در کمپین Atomic Arch این باینری در مرحله پیش از نصب و از طریق فایل package.json فعال شده و یک پیلود مرحله دوم را با استفاده از فناوری eBPF (extended Berkeley Packet Filter) در سطح کرنل لینوکس مستقر و اجرا میکند.
تحلیلهای بیشتر نشان دادند که بدافزار فایل کد مشخصی با نام scales.bpf.c را بارگذاری میکند تا قابلیتهای مشابه روتکیت را در سیستم ایجاد کند. این پیلود با دستکاری فراخوانیهای سیستمی مرتبط با فهرستکردن محتوای دایرکتوریها، باعث میشود فایلها و پردازههای مخرب بهطور کامل از دید کاربر و ابزارهای امنیتی مخفی شوند.
در ادامه مشخص شد این بدافزار وضعیت سیستمهای فعال را نیز مانیتورینگ میکند تا وجود ابزارهای دیباگر (debuggers) و ابزارهای تحلیل کد را شناسایی کرده و در صورت تشخیص، فرآیند تحلیل و بررسی امنیتی را مختل کند. این سطح از مخفیسازی نشان میدهد مهاجمان صرفاً به اجرای یک اسکریپت مخرب ساده اکتفا نکردهاند، بلکه بهدنبال پایداری (persistence) و فرار از شناسایی در لایههای عمیقتر سیستم هستند.
سرقت اعتبارنامهها و دادههای حساس
هدف نهایی کمپین Atomic Arch سرقت اعتبارنامهها و دادههای حساس کاربران است. پیلود مخرب پس از اجرا، بهدنبال استخراج کلیدهای گیتهاب، دادههای SSH، توکنهای HashiCorp Vault، کوکیهای مرورگر و اطلاعات ذخیرهشده در طیف گستردهای از ابزارهای ارتباطی میگردد.
بر اساس گزارش شرکت Sonatype، ابزارهایی مانند اسلک (Slack)، دیسکورد (Discord)، مایکروسافت تیمز (Microsoft Teams) و تلگرام در محدوده جستوجو و استخراج دادههای این بدافزار قرار دارند. دادههای سرقتشده در نهایت از طریق قابلیتهای داخلی آپلود وب بهصورت مستقیم برای مهاجم ارسال میشوند.
این عملکرد نشان میدهد تمرکز این حمله صرفاً بر آلودگی سیستم نیست، بلکه مهاجمان تلاش کردهاند به داراییهایی دسترسی پیدا کنند که میتواند برای نفوذهای بعدی، حرکت جانبی (lateral movement) یا دسترسی به محیطهای توسعه و زیرساختهای سازمانی مورد استفاده قرار گیرد.
شباهت به IronWorm و هشدار درباره عدم پاکسازی کامل سیستم
اگرچه تکنیکهای مورد استفاده در کمپین Atomic Arch شباهتهایی با یک کمپین قدیمیتر با نام IronWorm دارد اما شرکت Sonatype هنوز این حمله را بهطور رسمی به هیچ گروه هکری مشخصی نسبت نداده است.
کارشناسان امنیتی هشدار میدهند که تنها حذف پکیج آلوده برای پاکسازی کامل سیستم کافی نیست؛ زیرا در صورتی که پیلود در عمق سیستم فعال شده باشد، ممکن است فایلها و پردازههای مخرب همچنان از دید کاربر و برخی ابزارهای امنیتی پنهان باقی بمانند.
در چنین شرایطی، انجام بررسیهای تخصصی سیستم شامل تحلیل عملکرد پردازهها، بازبینی وابستگیهای نصبشده و ارزیابی اعتبارنامههای در معرض ریسک، برای اطمینان از پاکسازی کامل و جلوگیری از نفوذهای بعدی ضروری است.
