Arch Linux'un kullanıcı katkılı popüler deposu AUR (Arch User Repository), üst üste gelen iki büyük güvenlik ihlaliyle sarsıldı. Geliştiricilerin binlerce paketi etkileyen ilk saldırıyı kontrol altına aldıklarını açıklamalarından hemen bir gün sonra, kod gizleme teknikleri içeren daha karmaşık bir ikinci dalga ortaya çıktı.
➡️ İlk Dalga: 1.500'den Fazla Paket Enfekte Oldu
Kriz, AUR deposundaki 400'den fazla pakette kötü amaçlı yazılım tespit edilmesiyle başladı. Gün ilerledikçe durumun vahameti artarak önce 900, ardından da 1.500'ün üzerinde pakete ulaştı.
Arch Linux geliştiricileri, bilinen tüm kötü amaçlı commit'leri (kod değişikliklerini) sildiklerini duyursa da yayınlanan son liste, tam 1.579 paketin bu saldırıdan etkilendiğini gözler önüne serdi. Üstelik yetkililer, bu devasa listenin bile "etkilenen paketlerin çoğunu içeren ancak tamamını kapsamayan bir liste" olduğunu belirterek tehlikenin boyutuna dikkat çekti.
➡️ Sadece Bir Gün Sonra: Daha Karmaşık İkinci Dalga
İlk krizin kontrol altına alındığına inanılmasından sadece 24 saat sonra, AUR'da yeni bir kötü amaçlı yazılım dalgası baş gösterdi. Bu son saldırının, amacını gizlemek için kod gizleme (obfuscation) gibi çok daha sofistike yöntemler barındırdığı bildirildi.
Geliştirici a821 tarafından aktarılan bilgilere göre; çeşitli Node.js paketleri, bir Plasma 6 applet paketi, bazı Firefox paketleri, Aura tarayıcısı, LibreWolf uzantıları ve bir NeoVim eklentisi dahil olmak üzere geniş bir yelpazede gizlenmiş zararlı kodlar bulundu. Bu paketlere hızlıca müdahale edilmiş olsa da saatler sonra yeni bir sızıntı daha rapor edildi.
➡️ Yapay Zeka ile Tespit Edilen Yeni Tehditler
Geliştirici Nicolas Boichat, yerel bir Gemma E2B yapay zeka modeli kullanarak AUR paketlerindeki yeni zararlı yazılım girişimlerini ortaya çıkardı. Boichat, bu son dalgadaki saldırganların Bun komutu etrafındaki zararlı eylemleri gizleme konusunda "biraz daha ayrıntılı ve organize" çalıştıklarını belirtti.
Topluluğun Tepkisi: Peş peşe gelen bu organize saldırıların ardından Arch Linux topluluğunda, deponun güvenliğini tam olarak doğrulamadan veya değişikliklere katı yeni güvenlik önlemleri uygulamadan AUR'un neden hâlâ tamamen kapatılmadığı sorusu ciddi bir tartışma konusu haline geldi.