Atomic Arch: Hoe 1900 AUR-pakketten gevreesde wapens werden

De campagnepagina van SafeDep en door de community samengestelde lijsten telden uiteindelijk 1.937 getroffen AUR-pakketnamen, wat de enorme reikwijdte van de aanval onderstreepte . Cruciaal is dat de officiële Arch Linux-repositories (core, extra, community) niet werden getroffen—dit was uitsluitend een AUR-incident .

De Aanvalsmethode: Misbruik van een op Vertrouwen Gebaseerd Proces

Atomic Arch was geen inbraak in de infrastructuur van Arch, maar een chirurgische uitbuiting van het adoptieproces voor verlaten pakketten van de AUR. Met dit proces kan ieder communitylid het eigenaarschap claimen van pakketten die niet langer worden onderhouden .

De aanval ontvouwde zich in twee verschillende golven, waarbij de daders hun aanpak verfijnden om detectie te ontwijken.

Golf 1: De npm-haak (11 juni)

Aanvallers namen systematisch verlaten pakketten over. Nadat ze beheerdersrechten hadden verkregen, veranderden ze de broncode van de software zelf niet—een zet die checksums zou hebben gebroken en alarmbellen had doen rinkelen. In plaats daarvan pasten ze de PKGBUILD-bouwscripts aan om kwaadaardige npm-afhankelijkheden te injecteren: atomic-lockfile (v1.4.2) en js-digest (v4.2.2) . Deze pakketten waren zo ingesteld dat ze automatisch werden uitgevoerd tijdens het makepkg-proces. Om de kwaadaardige activiteit verder te verhullen, werd de code ingebed in .install-scripts en vermomd met behulp van shell string splitting, gemengde aanhalingstekens en hexadecimale escapes .

Golf 2: De Bun-wissel (12 juni)

Nauwelijks een dag later dook een tweede golf op. Dit keer vervingen de aanvallers het npm-installatiepad door een op Bun gebaseerd installatieproces, waarbij een ander kwaadaardig pakket genaamd lockfile-js (v1.4.2) werd gebruikt . Deze verschuiving bemoeilijkte de detectie, omdat veel van de eerste Indicators of Compromise (IoC's) gericht waren op de npm-registry en beveiligingstools moesten worden bijgewerkt om de nieuwe runtime en afhankelijkheid te monitoren .

Door alleen de bouwinstructies te vergiftigen in plaats van de software zelf, omzeilden de aanvallers traditionele integriteitscontroles. De upstream-broncode leek schoon en de malware werd pas tijdens het bouwen opgehaald en uitgevoerd, waardoor deze onzichtbaar was voor gebruikers die de PKGBUILD-scripts niet handmatig inspecteerden .

De Kwaadaardige Payloads: Diefstal en Rootkit

Machines die de gecompromitteerde pakketten bouwden, ontvingen een tweetraps payload die was ontworpen voor spionage en persistentie.

• Rust-gebaseerde Credential Stealer: Een gerichte binary die ontwikkelaarsgeheimen oogstte, waaronder browsersessies, SSH-sleutels, GitHub-tokens, npm-tokens, Slack/Teams-sessies, Vault-tokens, Docker/Podman-inloggegevens en cloudtoegangssleutels .
• eBPF Rootkit (Alleen bij Root-rechten): Als het pakket met rootrechten werd gebouwd, installeerde de malware een eBPF-rootkit die in staat was om zijn eigen bestanden, processen en netwerkactiviteit te verbergen voor standaard detectietools zoals ps en htop. De rootkit gebruikte /sys/fs/bpf/ voor persistentie, wat het uitzonderlijk moeilijk maakte om te verwijderen .

De combinatie van een credential stealer en een rootkit op kernel-niveau maakte dit een ernstige bedreiging, vooral voor ontwikkelaars wier werkstations vaak geprivilegieerde toegangssleutels en gevoelige data bevatten.

Reactie van de Community en Ontwikkelaars

De Arch Linux-community en de beveiligingsindustrie kwamen snel in actie, maar de reactie werd bemoeilijkt door de schaal van de aanval.

• Acties van het Arch-team: Arch-bijdragers openden op 11 juni een geconsolideerde AUR-meldingsdraad en begonnen met het terugdraaien van kwaadaardige commits, het blokkeren van aanvallersaccounts en het opschonen van de verzameling verlaten pakketten. Arch Linux schortte de daaropvolgende maandag ook de registratie van nieuwe accounts op de AUR op om verder misbruik te voorkomen . Arch-packager Jonathan Grotelüschen bevestigde dat het team bezig was om "alle kwaadaardige commits te herstellen of te verwijderen en de verantwoordelijke accounts te blokkeren" .
• Conflict in de Community: De aanval leidde tot intense debatten. In verhitte discussies op platforms zoals het PrivacyGuides-forum riepen sommige communityleden op om de AUR volledig te sluiten, met het argument dat het op vertrouwen gebaseerde model fundamenteel gebroken was bij een compromittering van deze omvang .
• Reactie van derden: Beveiligingsbedrijven zoals Sonatype, Corgea, de Cloud Security Alliance (CSA) en TrueSec publiceerden gedetailleerde analyses, Indicators of Compromise (IoC's) en community-detectiescripts (zoals aur-malware-check) om gebruikers te helpen hun systemen te controleren .

Een belangrijke bron van wrijving was dat het officiële Arch-team niet onmiddellijk een enkele, canonieke lijst van alle getroffen pakketten publiceerde. Hierdoor waren gebruikers aangewezen op manifesten van derden, zoals die van SafeDep en Corgea .

Lessen voor het Linux-ecosysteem

De Atomic Arch-aanval legt structurele zwakheden bloot in op vertrouwen gebaseerde community-repositories die afhankelijk zijn van vrijwillig onderhoud.

• De Verlaten Pakketten-valkuil is een Systemisch Risico: De mogelijkheid voor elke gebruiker om direct een verlaten pakket over te nemen en te wijzigen zonder identiteitsverificatie of verplichte codebeoordeling, veranderde een gemaksfunctie in een aanvalsvector met grote impact .
• Injectie tijdens het Bouwen Omzeilt Integriteitscontroles: Traditionele verdedigingsmechanismen zijn afhankelijk van het verifiëren van de integriteit van broncode-tarballs. Omdat Atomic Arch de bouwscripts vergiftigde in plaats van de broncode, boden standaard checksums geen bescherming .
• Cross-Ecosysteem Supply Chains Zijn de Nieuwe Grens: De aanval wapende de npm- en Bun-registries om malware te verspreiden binnen het Linux-ecosysteem, wat aantoont dat één gecompromitteerd pakket in de ene registry een kettingreactie kan veroorzaken op andere platformen .

Wat Getroffen Gebruikers Nu Moeten Doen

Beveiligingsonderzoekers en de Arch-community zijn unaniem in hun richtlijnen: dit is geen geval waarbij het verwijderen van één pakket voldoende is.

1. Ga uit van een Totale Compromittering: Beschouw elke host die tussen 9 en 12 juni 2026 een AUR-pakket heeft gebouwd of bijgewerkt als volledig onbetrouwbaar .
2. Installeer Opnieuw vanaf Schone Media: Een simpele malwarescan is onbetrouwbaar, omdat de eBPF-rootkit is ontworpen om zich te verbergen voor detectietools. De enige gegarandeerde oplossing is om het getroffen systeem opnieuw op te bouwen vanaf vertrouwde installatiemedia .
3. Wijzig Onmiddellijk Alle Inloggegevens: Ga ervan uit dat de credential stealer elk geheim heeft buitgemaakt dat toegankelijk was op de machine: SSH-sleutels, GitHub- en npm-tokens, Vault-tokens, cloudtoegangssleutels, browsersessies en Docker/Podman-inloggegevens .
4. Controleer de AUR-geschiedenis: Voer

   pacman -Qm

   uit om alle externe pakketten te tonen die op het systeem zijn geïnstalleerd en vergelijk deze met de door de community gepubliceerde lijsten met kwaadaardige pakketten .
5. Controleer op Indicators of Compromise: Zoek naar sporen van atomic-lockfile, lockfile-js, of js-digest in build-caches, en naar verdachte vermeldingen onder /sys/fs/bpf/ .
6. Behandel Dit als een Incident-Response-Gebeurtenis: Organisaties moeten dit niet behandelen als een simpele scanoefening. Elk Arch-ontwikkelaarswerkstation of elke CI/build-server die tijdens het aanvalsvenster iets van de AUR heeft opgehaald, moet worden behandeld als een beveiligingsincident dat een volledige respons vereist .