피드로 돌아가기
Arch Linux, 이제 악성코드 사고가 통제됐다고 판단: 1,500개 이상 패키지 영향
GeekNewsGeekNews
Security

Arch Linux, 이제 악성코드 사고가 통제됐다고 판단: 1,500개 이상 패키지 영향

AUR 공급망 공격으로 패키지 1,579개 감염 및 신뢰 모델 붕괴

neo2026년 6월 15일12intermediate

Context

사용자 기여 기반의 AUR(Arch User Repository) 저장소가 가진 개방형 신뢰 모델의 취약점을 악용한 공급망 공격 발생. 고아 패키지(Orphaned Package)의 소유권 이전 권한이 제한 없이 개방된 구조적 허점이 공격자의 침투 경로로 작용함.

Technical Solution

  • 악성 커밋 식별 및 즉각적인 삭제를 통한 1차 대응 수행
  • Miasma 웜의 특징인 AES-128-GCM 기반 페이로드 복호화 및 동적 심볼 오프셋 변이 기법 분석
  • 패키지 최소 연령 제한(Minimum Package Age) 도입을 통한 신규/변조 패키지 배포 지연 전략 검토
  • Namespace 기반 패키지 관리 체계 전환으로 소유권 상실 및 무분별한 입양 구조 제거 제안
  • chroot, Sandbox, 네트워크 로그 기반의 시스템 수준 격리 계층 설계를 통한 실행 권한 제한 필요성 대두
  • 단순 서명 기반 스캔의 한계를 극복하기 위해 동작 기반의 행위 분석 및 실시간 공급망 모니터링 체계 강화

- 서드파티 패키지 설치 전 PKGBUILD의 소스 URL 및 설치 스크립트 무결성 검토 - 고아 패키지 입양 시 계정 생성일 및 유지보수 이력 기반의 신뢰도 검증 - 패키지 설치 시 root 권한 부여를 최소화하고 사용자 수준의 로컬 설치 및 불변 시스템 파일 구조 검토 - 의존성 트리 내의 변이형 악성코드 탐지를 위해 단순 해시 비교가 아닌 행위 기반 모니터링 도구 도입

원문 읽기