Atomic Arch: Serangan Rantai Pasok AUR yang Membajak 1.900 Paket

Pada Juni 2026, serangan rantai pasok sistematis terhadap Arch User Repository (AUR) mengkompromikan hampir 1.900 paket yang dikelola komunitas, menjadikannya salah satu insiden terbesar dalam sejarah repositori tersebut. Dijuluki Atomic Arch oleh peneliti Sonatype dan dilacak sebagai Sonatype-2026-003775 dengan skor CVSS 8.7, kampanye ini mengeksploitasi mekanisme kepercayaan yang sah untuk secara diam-diam menyebarkan malware pencuri kredensial dan rootkit tingkat kernel ke komputer para pengembang .

Skala dan Linimasa

Apa yang awalnya tampak seperti insiden terisolasi dengan cepat berubah menjadi kompromi besar-besaran dalam satu akhir pekan.

• 11 Juni 2026 (Gelombang Pertama): Sonatype mengidentifikasi gelombang awal, mengonfirmasi sekitar 408 paket yang terkompromi .
• 12 Juni 2026 (Gelombang Kedua): Gelombang kedua memperluas serangan. Upaya konsolidasi komunitas dan peneliti di PrivacyGuides melaporkan bahwa jumlahnya melonjak melewati 1.500 paket .
• 14-15 Juni 2026 (Eskalasi): Analisis lebih lanjut oleh Corgea Research memverifikasi setidaknya 1.619 nama paket berbahaya yang unik, sementara Risky.biz melaporkan jumlah akhir naik melewati 1.900 .

Halaman kampanye SafeDep dan daftar yang dikonsolidasikan komunitas pada akhirnya menghitung 1.937 nama paket AUR yang terdampak, menyoroti jangkauan serangan yang sangat masif . Yang krusial, repositori Arch Linux resmi (core, extra, community) tidak terdampak—ini murni insiden AUR .

Metode Serangan: Mengeksploitasi Alur Kerja Berbasis Kepercayaan

Atomic Arch bukanlah pembobolan infrastruktur Arch. Sebaliknya, ini adalah eksploitasi seksama terhadap alur kerja adopsi paket yatim piatu AUR, sebuah proses yang memungkinkan setiap anggota komunitas untuk mengklaim kepemilikan paket yang ditinggalkan .

Serangan ini terjadi dalam dua gelombang berbeda, dengan pelaku menyempurnakan pendekatan mereka untuk menghindari deteksi.

Gelombang 1: Pengait npm (11 Juni)

Penyerang secara sistematis mengadopsi paket-paket yatim piatu. Begitu mereka mendapatkan hak istimewa sebagai pengelola, mereka tidak mengubah kode sumber perangkat lunak itu sendiri—langkah yang akan merusak checksum dan memicu alarm. Sebaliknya, mereka memodifikasi skrip build PKGBUILD untuk menyuntikkan dependensi npm berbahaya: atomic-lockfile (v1.4.2) dan js-digest (v4.2.2) . Paket-paket ini dikonfigurasi untuk berjalan secara otomatis selama proses makepkg. Untuk menyembunyikan aktivitas berbahaya lebih lanjut, kode tersebut disematkan dalam skrip .install dan disamarkan menggunakan pemisahan string shell, pengutipan campuran, dan escape heksadesimal .

Gelombang 2: Peralihan ke Bun (12 Juni)

Sehari kemudian, gelombang kedua muncul. Kali ini, penyerang mengganti jalur instalasi npm dengan proses instalasi berbasis Bun, menggunakan paket berbahaya berbeda bernama lockfile-js (v1.4.2) . Perubahan ini mempersulit deteksi, karena banyak Indikator Kompromi (IoC) awal berfokus pada registri npm, dan alat keamanan harus diperbarui untuk memantau runtime dan dependensi baru .

Dengan hanya meracuni instruksi build alih-alih perangkat lunaknya sendiri, penyerang melewati pemeriksaan integritas tradisional. Kode sumber upstream tampak bersih, dan malware hanya diambil dan dieksekusi pada waktu build, membuatnya tidak terlihat oleh pengguna yang tidak memeriksa skrip PKGBUILD secara manual .

Payload Berbahaya: Pencuri dan Rootkit

Mesin yang membangun paket terkompromi menerima payload dua tahap yang dirancang untuk spionase dan persistensi.

• Pencuri Kredensial Berbasis Rust: Sebuah biner terfokus yang memanen rahasia pengembang, termasuk sesi browser, kunci SSH, token GitHub, token npm, sesi Slack/Teams, token Vault, kredensial Docker/Podman, dan kunci akses cloud .
• Rootkit eBPF (Hanya Root): Jika paket dibangun dengan hak istimewa root, malware menyebarkan rootkit eBPF yang mampu menyembunyikan file, proses, dan aktivitas jaringannya sendiri dari alat deteksi standar seperti ps dan htop. Rootkit menggunakan /sys/fs/bpf/ untuk persistensi, membuatnya sangat sulit dihapus .

Kombinasi pencuri kredensial dan rootkit tingkat kernel membuat ini menjadi ancaman yang parah, terutama bagi pengembang yang komputernya sering menyimpan kunci akses istimewa dan data sensitif.

Respons Komunitas dan Pengembang

Komunitas Arch Linux dan industri keamanan bergerak cepat, tetapi responsnya diperumit oleh skala serangan.

• Tindakan Tim Arch: Kontributor Arch membuka utas laporan AUR gabungan pada 11 Juni dan memulai proses mengembalikan komit berbahaya, memblokir akun penyerang, dan membersihkan kumpulan paket yatim piatu. Arch Linux juga menangguhkan pendaftaran akun baru di AUR pada hari Senin berikutnya untuk mencegah penyalahgunaan lebih lanjut . Pengelola paket Arch, Jonathan Grotelüschen, mengonfirmasi bahwa tim sedang bekerja untuk "memulihkan atau menghapus semua komit berbahaya dan memblokir akun yang bertanggung jawab" .
• Konflik Komunitas: Serangan ini memicu perdebatan sengit. Diskusi panas di platform seperti forum PrivacyGuides menunjukkan beberapa anggota komunitas menyerukan agar AUR ditutup sepenuhnya, dengan alasan bahwa model berbasis kepercayaannya secara fundamental rusak pada skala kompromi sebesar ini .
• Respons Pihak Ketiga: Perusahaan keamanan termasuk Sonatype, Corgea, Cloud Security Alliance (CSA), dan TrueSec menerbitkan analisis terperinci, Indikator Kompromi (IoC), dan skrip deteksi komunitas (seperti aur-malware-check) untuk membantu pengguna mengaudit sistem mereka .

Salah satu sumber friksi utama adalah bahwa tim Arch resmi tidak segera menerbitkan satu daftar kanonik dari semua paket yang terdampak, menyebabkan pengguna bergantung pada manifes pihak ketiga dari sumber seperti SafeDep dan Corgea .

Pelajaran untuk Ekosistem Linux

Serangan Atomic Arch mengungkap kelemahan struktural dalam repositori komunitas berbasis kepercayaan yang mengandalkan pemeliharaan sukarela.

• Jebakan Paket Yatim Piatu adalah Risiko Sistemik: Kemampuan bagi setiap pengguna untuk langsung mengadopsi dan memodifikasi paket yang ditinggalkan tanpa verifikasi identitas atau tinjauan kode wajib mengubah fitur kenyamanan menjadi vektor serangan berdampak tinggi .
• Injeksi Waktu Build Melewati Pemeriksaan Integritas: Mekanisme pertahanan tradisional mengandalkan verifikasi integritas tarball kode sumber. Karena Atomic Arch meracuni skrip build alih-alih sumbernya, checksum standar tidak memberikan perlindungan .
• Rantai Pasok Lintas-Ekosistem adalah Batas Baru: Serangan ini mempersenjatai registri npm dan Bun untuk mendistribusikan malware ke ekosistem Linux, membuktikan bahwa satu paket terkompromi di satu registri dapat memiliki efek berjenjang di berbagai platform .

Apa yang Harus Dilakukan Pengguna Terdampak Sekarang

Peneliti keamanan dan panduan komunitas Arch sepakat: ini bukan kasus di mana menghapus satu paket sudah cukup.

1. Anggap Kompromi Penuh: Perlakukan setiap host yang membangun atau memperbarui paket AUR antara 9 dan 12 Juni 2026 sebagai sepenuhnya terkompromi .
2. Instal Ulang dari Media Bersih: Pemindaian malware sederhana tidak dapat diandalkan karena rootkit eBPF dirancang untuk bersembunyi dari alat deteksi. Satu-satunya remediasi yang dijamin adalah membangun kembali sistem yang terdampak dari media instalasi tepercaya .
3. Rotasi Semua Kredensial Segera: Anggap pencuri kredensial telah mengeksfiltrasi setiap rahasia yang dapat diakses di mesin: kunci SSH, token GitHub dan npm, token Vault, kunci akses cloud, sesi browser, dan kredensial Docker/Podman .
4. Audit Riwayat AUR: Jalankan

   pacman -Qm

   untuk mendaftar semua paket asing yang terinstal di sistem dan referensikan silang dengan manifes paket berbahaya yang diterbitkan komunitas .
5. Periksa Indikator Kompromi: Cari jejak atomic-lockfile, lockfile-js, atau js-digest di cache build, serta entri mencurigakan di bawah /sys/fs/bpf/ .
6. Perlakukan Ini sebagai Peristiwa Respons Insiden: Organisasi tidak boleh memperlakukan ini sebagai latihan pemindaian sederhana. Setiap komputer kerja pengembang Arch atau server CI/build yang menarik dari AUR selama jendela serangan harus diperlakukan sebagai insiden keamanan yang membutuhkan respons penuh .