Atomic Arch: Det største angreb på Arch Linux’ community-lager nogensinde

I juni 2026 ramte et systematisk forsyningskædeangreb mod Arch User Repository (AUR) næsten 1.900 community-vedligeholdte pakker. Det gør det til en af de største hændelser i lagerets historie. Kampagnen, døbt Atomic Arch af sikkerhedsfirmaet Sonatype og sporet som Sonatype-2026-003775 med en CVSS-score på 8.7, udnyttede en legitim tillidsmekanisme til lydløst at installere en legitimationsstjæler og en rootkit i kerneniveau på udvikleres computere .

Angrebets omfang og tidslinje

Det, der startede som en tilsyneladende isoleret hændelse, udviklede sig hurtigt til en omfattende kompromittering over en enkelt weekend.

• 11. juni 2026 (Første bølge): Sonatype identificerede den første bølge med ca. 408 kompromitterede pakker .
• 12. juni 2026 (Anden bølge): En ny bølge udvidede angrebet. Community-opgørelser og forskere hos PrivacyGuides rapporterede, at tallet var steget til over 1.500 pakker .
• 14.-15. juni 2026 (Eskalering): Yderligere analyse fra Corgea Research bekræftede mindst 1.619 unikke, ondsindede pakkenavne, mens Risky.biz rapporterede, at det endelige tal oversteg 1.900 .

SafeDeps kampagneside og community-samlede lister endte med at opregne 1.937 berørte AUR-pakkenavne, hvilket understreger angrebets massive rækkevidde . Det er afgørende at vide, at de officielle Arch Linux-lagre (core, extra, community) ikke var berørt – dette var udelukkende en AUR-hændelse .

Sådan blev tilliden misbrugt

Atomic Arch var ikke et indbrud i Arch’s infrastruktur. Det var en kirurgisk udnyttelse af AUR’s adoptions-workflow for forældreløse pakker – en proces, der tillader ethvert community-medlem at overtage ejerskabet af forladte pakker .

Angrebet udfoldede sig i to tydelige bølger, hvor gerningsmændene forfinede deres metode for at undgå opdagelse.

Første bølge: npm-fælden (11. juni)

Angriberne overtog systematisk forældreløse pakker. Da de havde fået vedligeholderrettigheder, ændrede de ikke selve kildekoden – et træk, der ville have ødelagt kontrolsummer og udløst alarmer. I stedet modificerede de PKGBUILD-build-scriptsene for at injicere de ondsindede npm-afhængigheder: atomic-lockfile (v1.4.2) og js-digest (v4.2.2) . Disse pakker blev konfigureret til at køre automatisk under makepkg-processen. For yderligere at skjule aktiviteten blev koden indlejret i .install-scripts og forklædt ved hjælp af shell-strengopdeling, blandede anførselstegn og hexadecimale tegn .

Anden bølge: Bun-skiftet (12. juni)

Bare en dag senere dukkede en ny bølge op. Denne gang byttede angriberne npm-installationsmetoden ud med en Bun-baseret proces og brugte en anden ondsindet pakke kaldet lockfile-js (v1.4.2) . Dette skift komplicerede opdagelsen, da de fleste indledende indikatorer fokuserede på npm-registret, og sikkerhedsværktøjer måtte opdateres til at overvåge den nye runtime .

Ved kun at forgifte build-instruktionerne i stedet for selve softwaren omgik angriberne de traditionelle integritetstjek. Kildekoden fremstod ren, og malwaren blev først hentet og kørt på build-tidspunktet, hvilket gjorde den usynlig for brugere, der ikke manuelt inspicerede PKGBUILD-scripts .

De ondsindede våben: Stjæler og rootkit

Maskiner, der byggede de kompromitterede pakker, modtog en to-trins nyttelast designet til spionage og varig tilstedeværelse.

• Rust-baseret legitimationsstjæler: En målrettet binær fil, der høstede udviklerhemmeligheder som browsersessioner, SSH-nøgler, GitHub-tokens, npm-tokens, Slack/Teams-sessioner, Vault-tokens, Docker/Podman-legitimationsoplysninger og cloud-adgangsnøgler .
• eBPF-rootkit (kun som root): Hvis pakken blev bygget med root-rettigheder, installerede malwaren en eBPF-rootkit, der var i stand til at skjule sine egne filer, processer og netværksaktivitet for standarddetekteringsværktøjer som ps og htop. Rootkittet brugte /sys/fs/bpf/ til at gemme sig, hvilket gjorde det ekstremt svært at fjerne .

Kombinationen af en legitimationsstjæler og en rootkit i kerneniveau gjorde dette til en alvorlig trussel, især for udviklere, hvis arbejdsstationer ofte indeholder privilegerede adgangsnøgler og følsomme data.

Community og udvikleres reaktion

Arch Linux-communityet og sikkerhedsbranchen reagerede hurtigt, men indsatsen blev kompliceret af angrebets størrelse.

• Arch-teamets handlinger: Arch-bidragydere åbnede en samlet AUR-rapporteringstråd den 11. juni og begyndte at rulle ondsindede commits tilbage, udelukke angriberkonti og rydde op i puljen af forældreløse pakker. Om mandagen standsede Arch Linux også nyoprettelser af konti på AUR for at forhindre yderligere misbrug . Arch-pakkevedligeholderen Jonathan Grotelüschen bekræftede, at teamet arbejdede på at "gendanne eller slette alle ondsindede commits og udelukke de ansvarlige konti" .
• Splid i communityet: Angrebet udløste intens debat. I ophedede diskussioner på platforme som PrivacyGuides-forummet opfordrede nogle brugere til, at AUR helt skulle lukkes, fordi de mente, at dets tillidsbaserede model var fundamentalt ødelagt ved et kompromis af denne størrelsesorden .
• Tredjeparters respons: Sikkerhedsfirmaer som Sonatype, Corgea, Cloud Security Alliance (CSA) og TrueSec offentliggjorde detaljerede analyser, kompromitteringsindikatorer (IoCs) og community-detektionsscripts (som aur-malware-check) for at hjælpe brugere med at revidere deres systemer .

En central kilde til frustration var, at det officielle Arch-team ikke straks offentliggjorde en samlet, autoritativ liste over alle berørte pakker. Det fik brugerne til at stole på tredjepartslister fra kilder som SafeDep og Corgea .

Lektier for Linux-økosystemet

Atomic Arch-angrebet afslører strukturelle svagheder i tillidsbaserede community-lagre, der er afhængige af frivillig vedligeholdelse.

• Fælden med forældreløse pakker er en systemisk risiko: Muligheden for, at enhver bruger øjeblikkeligt kan overtage og ændre en forladt pakke uden identitetsverifikation eller obligatorisk kodegennemgang, forvandlede en bekvemmelighedsfunktion til en højrisiko-angrebsvektor .
• Injektion på build-tidspunktet omgår integritetstjek: Traditionelle forsvarsmekanismer er afhængige af at verificere integriteten af kildekodearkiver. Da Atomic Arch forgiftede build-scriptsene i stedet for koden, gav standardkontrolsummer ingen beskyttelse .
• Forsyningskæder på tværs af økosystemer er den nye frontlinje: Angrebet bevæbnede npm- og Bun-registrene til at distribuere malware i Linux-økosystemet. Det beviser, at en enkelt kompromitteret pakke i ét register kan have dominoeffekt på tværs af platforme .

Hvad berørte brugere skal gøre nu

Sikkerhedsforskere og Arch-communityets vejledning er entydig: Det er ikke nok bare at fjerne en enkelt pakke.

1. Antag fuld kompromittering: Behandl enhvert system, der har bygget eller opdateret en AUR-pakke mellem den 9. og 12. juni 2026, som fuldstændigt kompromitteret .
2. Geninstallér fra et rent medie: En almindelig malwarescanning er upålidelig, fordi eBPF-rootkittet er designet til at gemme sig for detektionsværktøjer. Den eneste garanterede løsning er at genopbygge det berørte system fra et pålideligt installationsmedie .
3. Skift alle legitimationsoplysninger omgående: Antag, at legitimationsstjæleren har stjålet enhver hemmelighed, der var tilgængelig på maskinen: SSH-nøgler, GitHub- og npm-tokens, Vault-tokens, cloud-adgangsnøgler, browsersessioner og Docker/Podman-legitimationsoplysninger .
4. Revidér din AUR-historik: Kør kommandoen

   pacman -Qm

   for at liste alle udenlandske pakker installeret på systemet, og krydstjek dem med communityets offentliggjorte lister over ondsindede pakker .
5. Tjek for kompromitteringsindikatorer: Søg efter spor af atomic-lockfile, lockfile-js eller js-digest i build-caches samt mistænkelige filer under /sys/fs/bpf/ .
6. Behandl dette som en sikkerhedshændelse: Organisationer bør ikke betragte dette som en simpel scanningsøvelse. Enhver Arch-udviklerarbejdsstation eller CI-/build-server, der har hentet fra AUR i angrebsvinduet, skal behandles som en sikkerhedshændelse, der kræver en fuld indsats .