چرا مدل «اعتماد اما تأیید» در مخزن AUR به شکست منجر شد؟

اگر برای مدیریت نرم‌افزارهای خود به مخزن کاربران آرچ (AUR) تکیه می‌کنید، احتمالاً همین حالا بدافزارهای فعالی روی سیستم شما در حال اجرا هستند. طبق گزارش شرکت Sonatype، یک حمله گسترده در بازه زمانی یک‌ هفته‌ای که در ۱۲ ژوئن ۲۰۲۶ به پایان رسید، حدود ۱,۵۰۰ بسته مخرب را به این مخزن تزریق کرده است.

این حادثه از ماهیت جامعه‌محور AUR سوءاستفاده می‌کند؛ جایی که هر کسی می‌تواند توصیفات بسته‌ها یا همان PKGBUILDها را آپلود کند. در واقع این سیستم مانند یک آشپزخانه عمومی است که هر کسی می‌تواند دستور پخت جدیدی اضافه کند، اما حالا برخی آشپزها مواد سمی را در دستورها پنهان کرده‌اند. همان‌طور که در تحلیل‌های قبلی ما درباره‌ی امنیت زنجیره تأمین نرم‌افزار اشاره کردیم، متجاوزان با استفاده از کدهای مبهم (Obfuscated code)، نظارت‌های دستی کاربران مورد اعتماد را دور زده‌اند. به این معنا که یک بسته برای بازبین داوطلب کاملاً سالم به نظر می‌رسد، اما در لحظه نصب، کد مخرب خود را اجرا می‌کند. این رویکرد یادآور حملات هدفمندی است که در آن تعداد زیادی از پروژه‌های گیت‌هاب مایکروسافت به دلیل تزریق بدافزارهای سرقت رمز عبور تعطیل شدند.

بر اساس مستندات منتشرشده در وبلاگ Sonatype، ابعاد این حمله بسیار جدی است:

• حجم: شناسایی حدود ۱,۵۰۰ بسته مخرب.
• بازه زمانی: تمام حملات تنها در یک هفته صورت گرفت.
• ریسک: احتمال تصاحب کامل سیستم از طریق ابزار makepkg و مدیر بسته pacman.

این وضعیت نشان می‌دهد که وقتی حجم آپلودها از توان نظارتی انسان‌ها فراتر می‌رود، مخازن جامعه‌محور به دری باز برای حملات زنجیره تأمین تبدیل می‌شوند. تکیه بر این فرض که کاربران باید تک‌تک خطوط یک PKGBUILD را بررسی کنند، یک سد امنیتی ناکارآمد است. سرعت بالای این حملات و بهره‌برداری از نقاط ضعف ساختاری، مشابه مواردی است که در گزارش انتروپیک درباره تبدیل سریع وصله‌های امنیتی ویندوز به اکسپلویت‌ها مشاهده شد.

گام بعدی شما

• بسته‌های مشکوک AUR را فوراً با دستور sudo pacman -R PACKAGENAME حذف کنید.
• برای شناسایی ترافیک‌های مشکوک خروجی، از ابزار Wireshark استفاده کنید.
• برای نصب برنامه‌های تجاری و متن‌باز، به جایگزین‌های ایزوله‌شده (Sandboxed) مانند Flatpak و مخزن Flathub مهاجرت کنید.

اما این آسیب‌پذیری تنها بخشی از یک بحران بزرگتر در توزیع‌های لینوکسی است؛ برای درک نحوه مقابله با حملات مشابه در سطح هسته، تحلیل ما درباره‌ی امنیت توزیع‌های سازمانی را بخوانید.