Atomic Arch: El ataque a la cadena de suministro que comprometió 1.900 paquetes del AUR

En junio de 2026, un ataque sistemático a la cadena de suministro contra el Arch User Repository (AUR) comprometió casi 1.900 paquetes mantenidos por la comunidad, convirtiéndose en uno de los mayores incidentes en la historia de este repositorio. Bautizado como Atomic Arch por los investigadores de Sonatype y registrado como Sonatype-2026-003775 con una puntuación CVSS de 8.7, la campaña explotó un mecanismo legítimo de confianza para desplegar silenciosamente un malware ladrón de credenciales y un rootkit a nivel de kernel en los equipos de trabajo de los desarrolladores .

Escala y cronología

Lo que parecía un incidente contenido se convirtió rápidamente en un compromiso masivo durante un solo fin de semana.

• 11 de junio de 2026 (Primera oleada): Sonatype identificó la oleada inicial, confirmando aproximadamente 408 paquetes comprometidos .
• 12 de junio de 2026 (Segunda oleada): Una segunda oleada amplió el ataque. Los esfuerzos de consolidación de la comunidad y los investigadores de PrivacyGuides informaron que la cifra había superado los 1.500 paquetes .
• 14-15 de junio de 2026 (Escalada): Análisis posteriores de Corgea Research verificaron al menos 1.619 nombres de paquetes maliciosos únicos, mientras que Risky.biz informó que la cifra final superó los 1.900 .

La página de la campaña de SafeDep y las listas consolidadas por la comunidad enumeraron finalmente 1.937 nombres de paquetes del AUR afectados, lo que subraya el enorme alcance del ataque . Es crucial destacar que los repositorios oficiales de Arch Linux (core, extra, community) no se vieron afectados; este fue un incidente exclusivo del AUR .

El método de ataque: explotando un flujo de trabajo basado en la confianza

Atomic Arch no fue una brecha en la infraestructura de Arch, sino una explotación quirúrgica del flujo de trabajo de adopción de paquetes huérfanos del AUR, un proceso que permite a cualquier miembro de la comunidad reclamar la propiedad de paquetes abandonados .

El ataque se desarrolló en dos oleadas distintas, donde los perpetradores refinaron su enfoque para evadir la detección.

Oleada 1: El anzuelo npm (11 de junio)

Los atacantes adoptaron sistemáticamente paquetes huérfanos. Una vez que obtuvieron privilegios de mantenedor, no alteraron el código fuente del software en sí —una acción que habría roto las sumas de verificación y activado las alarmas—. En su lugar, modificaron los scripts de compilación PKGBUILD para inyectar dependencias npm maliciosas: atomic-lockfile (v1.4.2) y js-digest (v4.2.2) . Estos paquetes se configuraban para ejecutarse automáticamente durante el proceso makepkg. Para ocultar aún más la actividad maliciosa, el código se incrustó en scripts .install y se disfrazó usando división de cadenas de shell, comillas mixtas y escapes hexadecimales .

Oleada 2: El cambio a Bun (12 de junio)

Apenas un día después, surgió una segunda oleada. Esta vez, los atacantes sustituyeron la ruta de instalación de npm por un proceso de instalación basado en Bun, utilizando un paquete malicioso diferente llamado lockfile-js (v1.4.2) . El cambio complicó la detección, ya que muchos de los Indicadores de Compromiso (IoC) iniciales se centraban en el registro de npm, y las herramientas de seguridad tuvieron que actualizarse para monitorizar el nuevo tiempo de ejecución y dependencia .

Al envenenar solo las instrucciones de compilación y no el software en sí, los atacantes eludieron las comprobaciones de integridad tradicionales. El código fuente original parecía limpio, y el malware solo se descargaba y ejecutaba en el momento de la compilación, haciéndolo invisible para los usuarios que no inspeccionaban manualmente los scripts PKGBUILD .

Las cargas maliciosas: ladrón de credenciales y rootkit

Las máquinas que compilaban los paquetes comprometidos recibían una carga útil en dos etapas diseñada para el espionaje y la persistencia.

• Ladrón de credenciales basado en Rust: Un binario especializado que recolectaba secretos de desarrollador, incluyendo sesiones de navegador, claves SSH, tokens de GitHub, tokens de npm, sesiones de Slack/Teams, tokens de Vault, credenciales de Docker/Podman y claves de acceso a la nube .
• Rootkit eBPF (solo con privilegios de root): Si el paquete se compilaba con privilegios de superusuario, el malware desplegaba un rootkit eBPF capaz de ocultar sus propios archivos, procesos y actividad de red de herramientas de detección estándar como ps y htop. El rootkit utilizaba /sys/fs/bpf/ para su persistencia, lo que lo hacía excepcionalmente difícil de eliminar .

La combinación de un ladrón de credenciales y un rootkit a nivel de kernel convirtió esto en una amenaza grave, particularmente para los desarrolladores cuyos equipos a menudo contienen claves de acceso privilegiadas y datos sensibles.

Respuesta de la comunidad y los desarrolladores

La comunidad de Arch Linux y la industria de la seguridad se movilizaron rápidamente, pero la respuesta se complicó por la escala del ataque.

• Acciones del equipo de Arch: Los colaboradores de Arch abrieron un hilo de informe consolidado del AUR el 11 de junio y comenzaron el proceso de revertir las confirmaciones maliciosas, prohibir las cuentas de los atacantes y limpiar el grupo de paquetes huérfanos. Arch Linux también suspendió los nuevos registros de cuentas en el AUR el lunes siguiente para prevenir más abusos . El empaquetador de Arch Jonathan Grotelüschen confirmó que el equipo estaba trabajando para "restaurar o eliminar todas las confirmaciones maliciosas y prohibir las cuentas responsables" .
• Conflicto en la comunidad: El ataque provocó un intenso debate. En acaloradas discusiones en plataformas como el foro de PrivacyGuides, algunos miembros de la comunidad pidieron que se cerrara el AUR por completo, argumentando que su modelo basado en la confianza estaba fundamentalmente roto a esta escala de compromiso .
• Respuesta de terceros: Firmas de seguridad como Sonatype, Corgea, la Cloud Security Alliance (CSA) y TrueSec publicaron análisis detallados, Indicadores de Compromiso (IoCs) y scripts de detección comunitarios (como aur-malware-check) para ayudar a los usuarios a auditar sus sistemas .

Un punto clave de fricción fue que el equipo oficial de Arch no publicó de inmediato una lista única y canónica de todos los paquetes afectados, lo que llevó a los usuarios a depender de manifiestos de terceros de fuentes como SafeDep y Corgea .

Lecciones para el ecosistema Linux

El ataque Atomic Arch expone debilidades estructurales en los repositorios comunitarios basados en la confianza que dependen del mantenimiento voluntario.

• La trampa del paquete huérfano es un riesgo sistémico: La capacidad de cualquier usuario para adoptar y modificar instantáneamente un paquete abandonado sin verificación de identidad o revisión de código obligatoria convirtió una característica de conveniencia en un vector de ataque de alto impacto .
• La inyección en tiempo de compilación elude las comprobaciones de integridad: Los mecanismos de defensa tradicionales se basan en verificar la integridad de los archivos comprimidos del código fuente. Dado que Atomic Arch envenenó los scripts de compilación en lugar del código fuente, las sumas de verificación estándar no proporcionaron protección alguna .
• Las cadenas de suministro entre ecosistemas son la nueva frontera: El ataque utilizó los registros de npm y Bun para distribuir malware en el ecosistema Linux, demostrando que un solo paquete comprometido en un registro puede tener efectos en cascada en todas las plataformas .

Lo que los usuarios afectados deben hacer ahora

Los investigadores de seguridad y la guía de la comunidad de Arch son unánimes: este no es un caso en el que baste con eliminar un solo paquete.

1. Asume un compromiso total: Trata cualquier equipo que haya compilado o actualizado un paquete del AUR entre el 9 y el 12 de junio de 2026 como completamente comprometido .
2. Reinstala desde un medio limpio: Un simple escaneo de malware no es fiable porque el rootkit eBPF está diseñado para ocultarse de las herramientas de detección. La única solución garantizada es reconstruir el sistema afectado desde un medio de instalación de confianza .
3. Rota todas las credenciales inmediatamente: Asume que el ladrón de credenciales ha exfiltrado todos los secretos accesibles en la máquina: claves SSH, tokens de GitHub y npm, tokens de Vault, claves de acceso a la nube, sesiones de navegador y credenciales de Docker/Podman .
4. Audita el historial del AUR: Ejecuta

   pacman -Qm

   para listar todos los paquetes externos instalados en el sistema y compáralos con los manifiestos de paquetes maliciosos publicados por la comunidad .
5. Busca Indicadores de Compromiso: Busca rastros de atomic-lockfile, lockfile-js o js-digest en las cachés de compilación, así como entradas sospechosas bajo /sys/fs/bpf/ .
6. Trata esto como un evento de respuesta a incidentes: Las organizaciones no deben tratar esto como un simple ejercicio de escaneo. Cualquier estación de trabajo de desarrollador de Arch o servidor de CI/compilación que haya extraído paquetes del AUR durante la ventana del ataque debe ser tratado como un incidente de seguridad que requiere una respuesta completa .