Atomic Arch: Bagaimana Hampir 1,900 Pakej Komuniti Arch Linux Diceroboh Untuk Mencuri Kredensial

Pada Jun 2026, satu serangan rantaian bekalan yang sistematik terhadap Arch User Repository (AUR) telah menjejaskan hampir 1,900 pakej yang diselenggara komuniti, menjadikannya salah satu insiden terbesar dalam sejarah repositori tersebut. Digelar Atomic Arch oleh penyelidik Sonatype dan dijejak sebagai Sonatype-2026-003775 dengan skor CVSS 8.7, kempen ini mengeksploitasi mekanisme kepercayaan yang sah untuk menggunakan perisian hasad pencuri kredensial dan rootkit peringkat kernel secara senyap ke stesen kerja pembangun .

Skala dan Garis Masa

Apa yang bermula sebagai insiden yang kelihatan terhad dengan cepat berkembang menjadi kompromi yang meluas dalam satu hujung minggu.

• 11 Jun 2026 (Gelombang Pertama): Sonatype mengenal pasti gelombang awal, mengesahkan kira-kira 408 pakej terjejas .
• 12 Jun 2026 (Gelombang Kedua): Gelombang kedua meluaskan serangan. Usaha penyatuan komuniti dan penyelidik di PrivacyGuides melaporkan jumlahnya telah meningkat melebihi 1,500 pakej .
• 14-15 Jun 2026 (Peningkatan): Analisis lanjut oleh Corgea Research mengesahkan sekurang-kurangnya 1,619 nama pakej berbahaya yang unik, manakala Risky.biz melaporkan jumlah akhir meningkat melepasi 1,900 .

Halaman kempen SafeDep dan senarai yang disatukan komuniti akhirnya menyenaraikan 1,937 nama pakej AUR yang terjejas, menekankan jangkauan besar serangan ini . Yang penting, repositori rasmi Arch Linux (core, extra, community) tidak terjejas—ini adalah insiden khusus AUR .

Kaedah Serangan: Mengeksploitasi Aliran Kerja Berasaskan Kepercayaan

Atomic Arch bukanlah satu pencerobohan infrastruktur Arch. Sebaliknya, ia adalah eksploitasi yang teliti terhadap aliran kerja pengambilan pakej terbiar AUR, satu proses yang membenarkan mana-mana ahli komuniti menuntut pemilikan pakej yang ditinggalkan .

Serangan ini berlaku dalam dua gelombang yang berbeza, dengan pelaku memperhalus pendekatan mereka untuk mengelak pengesanan.

Gelombang 1: Cangkuk npm (11 Jun)

Penyerang secara sistematik mengambil alih pakej terbiar. Sebaik sahaja mereka mendapat keistimewaan penyelenggara, mereka tidak mengubah kod sumber perisian itu sendiri—satu tindakan yang akan merosakkan checksum dan mencetuskan amaran. Sebaliknya, mereka mengubah suai skrip binaan PKGBUILD untuk menyuntik kebergantungan npm berbahaya: atomic-lockfile (v1.4.2) dan js-digest (v4.2.2) . Pakej-pakej ini dikonfigurasikan untuk melaksanakan secara automatik semasa proses makepkg. Untuk menyembunyikan aktiviti berbahaya itu dengan lebih lanjut, kod tersebut dibenamkan dalam skrip .install dan disamarkan menggunakan pemisahan rentetan shell, petikan bercampur, dan pelarian heksadesimal .

Gelombang 2: Pertukaran Bun (12 Jun)

Hanya sehari kemudian, gelombang kedua muncul. Kali ini, penyerang menggantikan laluan pemasangan npm dengan proses pemasangan berasaskan Bun, menggunakan pakej berbahaya berbeza bernama lockfile-js (v1.4.2) . Perubahan ini menyukarkan pengesanan, kerana banyak Petunjuk Kompromi (Indicators of Compromise, IoC) awal tertumpu pada registri npm, dan alat keselamatan perlu dikemas kini untuk memantau jalan masa dan kebergantungan baharu .

Dengan meracuni hanya arahan binaan dan bukannya perisian itu sendiri, penyerang memintas pemeriksaan integriti tradisional. Kod sumber huluan kelihatan bersih, dan perisian hasad hanya diambil dan dilaksanakan pada masa binaan, menjadikannya tidak kelihatan kepada pengguna yang tidak memeriksa skrip PKGBUILD secara manual .

Muatan Berbahaya: Pencuri dan Rootkit

Mesin yang membina pakej terjejas menerima muatan dua peringkat yang direka untuk pengintipan dan pengekalan akses.

• Pencuri Kredensial Berasaskan Rust: Satu perisian binari fokus yang menuai rahsia pembangun, termasuk sesi pelayar, kunci SSH, token GitHub, token npm, sesi Slack/Teams, token Vault, kredensial Docker/Podman, dan kunci akses awan .
• Rootkit eBPF (Root-Sahaja): Jika pakej dibina dengan keistimewaan root, perisian hasad itu menggunakan rootkit eBPF yang mampu menyembunyikan fail, proses dan aktiviti rangkaiannya sendiri daripada alat pengesanan standard seperti ps dan htop. Rootkit itu menggunakan /sys/fs/bpf/ untuk pengekalan, menjadikannya amat sukar untuk dibuang .

Gabungan pencuri kredensial dan rootkit peringkat kernel menjadikan ini ancaman serius, terutamanya untuk pembangun yang stesen kerjanya sering menyimpan kunci akses istimewa dan data sensitif.

Respons Komuniti dan Pembangun

Komuniti Arch Linux dan industri keselamatan bergerak pantas, tetapi responsnya menjadi rumit disebabkan skala serangan.

• Tindakan Pasukan Arch: Penyumbang Arch membuka satu utas laporan AUR yang disatukan pada 11 Jun dan memulakan proses mengembalikan komit berbahaya, menyekat akaun penyerang, dan membersihkan kumpulan pakej terbiar. Arch Linux juga menggantung pendaftaran akaun baharu di AUR pada hari Isnin berikutnya untuk mencegah penyalahgunaan selanjutnya . Pembungkus Arch, Jonathan Grotelüschen, mengesahkan pasukan sedang berusaha untuk "memulihkan atau memadam semua komit berbahaya dan menyekat akaun yang bertanggungjawab" .
• Konflik Komuniti: Serangan ini mencetuskan perdebatan sengit. Perbincangan hangat di platform seperti forum PrivacyGuides menyaksikan sesetengah ahli komuniti menyeru agar AUR ditutup sepenuhnya, dengan alasan bahawa model berasaskan kepercayaannya pada asasnya rosak pada skala kompromi ini .
• Respons Pihak Ketiga: Firma keselamatan termasuk Sonatype, Corgea, Cloud Security Alliance (CSA), dan TrueSec menerbitkan analisis terperinci, Petunjuk Kompromi (IoC), dan skrip pengesanan komuniti (seperti aur-malware-check) untuk membantu pengguna mengaudit sistem mereka .

Satu punca pergeseran utama ialah pasukan Arch rasmi tidak segera menerbitkan satu senarai kanonik tunggal bagi semua pakej terjejas, menyebabkan pengguna bergantung pada manifes pihak ketiga daripada sumber seperti SafeDep dan Corgea .

Pengajaran untuk Ekosistem Linux

Serangan Atomic Arch mendedahkan kelemahan struktur dalam repositori komuniti berasaskan kepercayaan yang bergantung pada penyelenggaraan sukarelawan.

• Perangkap Pakej Terbiar adalah Risiko Sistemik: Keupayaan untuk mana-mana pengguna mengambil alih dan mengubah suai pakej yang ditinggalkan dengan serta-merta, tanpa pengesahan identiti atau semakan kod mandatori, menukar ciri kemudahan menjadi vektor serangan berimpak tinggi .
• Suntikan Masa Binaan Memintas Pemeriksaan Integriti: Mekanisme pertahanan tradisional bergantung pada pengesahan integriti arkib kod sumber. Memandangkan Atomic Arch meracuni skrip binaan dan bukannya sumber, checksum standard tidak memberikan sebarang perlindungan .
• Rantaian Bekalan Merentas Ekosistem adalah Sempadan Baharu: Serangan ini menjadikan registri npm dan Bun sebagai senjata untuk mengedarkan perisian hasad ke dalam ekosistem Linux, membuktikan bahawa satu pakej terjejas dalam satu registri boleh memberi kesan melata merentas platform .

Apa yang Pengguna Terjejas Mesti Lakukan Sekarang

Penyelidik keselamatan dan panduan komuniti Arch sebulat suara: ini bukan kes di mana mengalih keluar satu pakej sudah mencukupi.

1. Anggap Kompromi Sepenuhnya: Anggap mana-mana hos yang membina atau mengemas kini pakej AUR antara 9 dan 12 Jun 2026 sebagai terjejas sepenuhnya .
2. Pasang Semula daripada Media Bersih: Imbasan perisian hasad yang mudah tidak boleh dipercayai kerana rootkit eBPF direka untuk bersembunyi daripada alat pengesanan. Satu-satunya pemulihan yang terjamin ialah membina semula sistem yang terjejas daripada media pemasangan yang dipercayai .
3. Tukar Semua Kredensial Dengan Segera: Anggap pencuri kredensial telah mengeluarkan setiap rahsia yang boleh diakses pada mesin: kunci SSH, token GitHub dan npm, token Vault, kunci akses awan, sesi pelayar, dan kredensial Docker/Podman .