Arch Linux Kullanıcılarını Tehdit Eden Kötü Amaçlı Yazılımlar Hakkında Uyarı!
Arch Linux’un kullanıcıya açık paket deposu AUR’da yayımlanan üç farklı yazılım paketinin kötü amaçlı yazılım barındırdığı ortaya çıktı. Topluluk tarafından hızla tespit edilen bu yazılımlar, Arch Linux geliştiricileri tarafından 18 Temmuz 2025’te tamamen sistemden kaldırıldı. Tehlikeli paketlerin isimleri “librewolf-fix-bin”, “firefox-patch-bin” ve “zen-browser-patched-bin” olarak belirlendi. Hepsinin aynı kullanıcı tarafından 16 Temmuz’da yüklendiği tespit edildi.
Paketlerin içinde yer alan PKGBUILD dosyalarında, sahte bir GitHub deposuna yönlendirme yapıldığı ve bu deponun bir uzaktan erişim truva atı olan CHAOS RAT’ı sistemlere yüklediği belirlendi. GitHub üzerindeki bu zararlı kod deposu kısa sürede silinse de olayın yankıları sürüyor.
REDDİT’TE ŞÜPHELİ HESAPLAR VE VİRÜS ALARMI
Arch Linux kullanıcılarının aktif olduğu Reddit platformunda, yıllardır kullanılmayan bir hesap üzerinden bu paketlerin övüldüğü ve yayılmaya çalışıldığı görüldü. Topluluk üyeleri durumu hızla fark etti. Bir kullanıcı, bu paketlerden birini VirusTotal’a yükleyerek analiz ettiğinde, zararlı yazılımın Linux sistemleri hedef alan CHAOS RAT olduğunu tespit etti.
Açık kaynak kodlu olan CHAOS RAT, sadece dosya yükleyip indirmekle kalmıyor; sistemde komut çalıştırma, ters kabuk açma ve tam kontrol sağlama gibi birçok kötü niyetli işlem gerçekleştirebiliyor. Bu yazılım özellikle kripto para madenciliği saldırılarında, veri hırsızlığında ve siber casusluk faaliyetlerinde kullanılıyor. BleepingComputer’ın aktardığına göre, bu kampanyada kullanılan komuta kontrol sunucusu 130.162.225.47:8080 adresindeydi.
ARCH LİNUX KULLANICILARINA ÖNEMLİ UYARI
Arch Linux geliştiricileri tarafından yapılan açıklamada, bu paketleri yüklemiş olabilecek tüm kullanıcıların sistemlerini dikkatle taraması gerektiği belirtildi. Özellikle “/tmp” dizini altında çalışan “systemd-initd” adında bir yürütülebilir dosyanın varlığı, sistemin ele geçirilmiş olabileceğini gösteriyor. Bu dosyanın vakit kaybetmeden silinmesi öneriliyor.
AUR, kullanıcıların kendi yazılım kurulum betiklerini paylaşabildiği bir platform olsa da, resmi inceleme sürecine tabi tutulmadığından güvenlik riski taşıyabiliyor. Arch geliştiricileri, “Bu tür durumların tekrar yaşanmaması için kullanıcıların yükledikleri her paketi detaylıca incelemesi gerektiğini önemle hatırlatıyoruz” açıklamasını yaptı.
Olay, açık kaynak sistemlerde güvenlik önlemlerinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi. Özellikle Linux gibi topluluğa dayalı sistemlerde, her adımda dikkatli olunması gerektiği bir kez daha vurgulanıyor.
