Arch Linux สั่งระงับสมัครสมาชิก AUR ชั่วคราว หลังตรวจพบความพยายามฝังมัลแวร์ในแพ็กเกจร้าง

Arch Linux ดิสโทรลินุกซ์ชื่อดังซึ่งปัจจุบันรั้งอันดับ 12-15 บนเว็บไซต์ DistroWatch และเป็นรากฐานสำคัญของ CachyOS ได้ประกาศระงับการสมัครบัญชีผู้ใช้งานใหม่บน Arch User Repository (AUR) อย่างเป็นทางการ หลังจากทีมงานตรวจพบพฤติกรรมของกลุ่มผู้ไม่หวังดีที่พยายามเข้าควบคุมแพ็กเกจซอฟต์แวร์ที่ถูกทิ้งร้างเพื่อแฝงมัลแวร์

กลไกของ AUR กับความเสี่ยงที่ถูกจับจ้อง

AUR ทำหน้าที่เป็นศูนย์กลางรวบรวมแพ็กเกจซอฟต์แวร์ที่ไม่ได้อยู่ในโครงการหลักของ Arch Linux โดยส่วนใหญ่เป็นโปรแกรมเฉพาะกลุ่มหรือซอฟต์แวร์ทดลอง ซึ่งในระบบจะมีสถานะที่เรียกว่า "orphan" หรือแพ็กเกจที่ไม่มีผู้ดูแล โดยเปิดโอกาสให้ผู้ใช้งานทั่วไปสามารถเข้ามาอาสารับช่วงดูแลต่อได้ อย่างไรก็ตาม สถานะดังกล่าวได้กลายเป็นช่องโหว่ให้คนร้ายพยายามสมัครบัญชีเพื่อเข้ายึดแพ็กเกจเหล่านี้ แล้วทำการฝังโค้ดมุ่งร้ายลงไปแทนที่

มาตรการรับมือและผลกระทบต่อความปลอดภัย

แม้การติดตั้งซอฟต์แวร์จาก AUR จะต้องผ่านขั้นตอนเฉพาะที่นอกเหนือจากการใช้งานคำสั่ง pacman ปกติ แต่ทีม DevOps ของ Arch Linux ก็ให้ความสำคัญกับเรื่องนี้อย่างสูงสุด โดยมองว่าการปล่อยให้เว็บไซต์ทางการกลายเป็นแหล่งแพร่กระจายมัลแวร์ถือเป็นความเสี่ยงร้ายแรง ขณะนี้ทีมงานจึงตัดสินใจปิดรับการสมัครบัญชีใหม่ชั่วคราว เพื่อดำเนินการตรวจสอบและเคลียร์แพ็กเกจที่เป็นอันตรายออกจากระบบให้สะอาดหมดจด

ภัยคุกคามรูปแบบ Supply Chain

เหตุการณ์ครั้งนี้ถือเป็นส่วนหนึ่งของความพยายามโจมตี Supply Chain ในวงการซอฟต์แวร์โอเพนซอร์ส ซึ่งผู้ไม่หวังดีมักใช้วิธีเสนอตัวเข้าช่วยดูแลโครงการที่ถูกทิ้งร้างเพื่อสร้างความเชื่อมั่น ก่อนจะแทรกซึมมัลแวร์เข้าไปในอัปเดตใหม่ คล้ายกับกรณีการฝังมัลแวร์ในแพ็กเกจ xz ที่เคยเป็นข่าวใหญ่ก่อนหน้านี้ ซึ่งหากคนร้ายทำสำเร็จจะส่งผลกระทบต่อผู้ใช้งานคอมพิวเตอร์ทั่วโลกเป็นจำนวนมหาศาล