Экосистема Arch Linux пострадала от масштабной атаки, которая затронула сотни пакетов в репозитории AUR. Злоумышленники перехватили управление заброшенными проектами, сохранили их названия и историю изменений, а затем изменили PKGBUILD-файлы таким образом, чтобы при сборке пакета загружалась и запускалась малварь. В результате пользователи сами запускали вредоносную полезную нагрузку при сборке пакетов.
Атака затронула не официальные репозитории Arch Linux, а AUR (Arch User Repository) — поддерживаемую сообществом коллекцию PKGBUILD-скриптов.
Как сообщили исследователи из компании Sonatype, злоумышленники целенаправленно искали заброшенные пакеты, оставшиеся без сопровождения. После получения контроля над такими проектами они изменяли файлы PKGBUILD и .install, добавляя команду npm install atomic-lockfile.
Под видом обычной npm-зависимости загружался вредоносный пакет atomic-lockfile версии 1.4.2. Во время установки он запускал ELF-бинарник deps, написанный на Rust.
Анализ, выполненный независимым ИБ-исследователем Whanos, показал, что это полноценный инфостилер, нацеленный прежде всего на рабочие машины разработчиков и сборочные системы.
Вредонос похищал cookie, токены и данные локального хранилища Chromium-браузеров, извлекал информацию из Slack, Discord и Microsoft Teams, воровал токены GitHub, npm, HashiCorp Vault и OpenAI, а также SSH-ключи, историю шелл-команд, VPN-профили и учетные данные Docker и Podman. Украденные данные передавались на внешний сервер, а связь с управляющей инфраструктурой злоумышленников была организована через Tor.
Для закрепления в системе малварь создавала systemd-службу с автоматическим перезапуском. Если процесс выполнялся с правами root, вредонос копировал себя в каталог /var/lib/ и создавал системный юнит в /etc/systemd/system/. При запуске от имени обычного пользователя использовался домашний каталог и пользовательские службы systemd.
Кроме того, внимание исследователей привлек встроенный eBPF-руткит. Изначально его вообще сочли основным компонентом атаки, однако позже выяснилось, что модуль является опциональным и загружается только при наличии необходимых привилегий. Руткит не использовался для повышения прав, но мог скрывать процессы, сетевые объекты и собственную активность от стандартных средств мониторинга.
Исходно специалисты Sonatype сообщали примерно о 20 скомпрометированных пакетах, однако вскоре участники сообщества насчитали более 400 зараженных проектов, а затем их число уже приблизилось к 2000. После этого эксперты обнаружили вторую волну атак: вместо atomic-lockfile злоумышленники начали использовать пакет js-digest, который устанавливался через bun install и загружал другую вредоносную полезную нагрузку.
Администраторы AUR уже занимаются удалением вредоносных коммитов и блокируют связанные учетные записи. Пользователям рекомендуют внимательно проверить все пакеты AUR, установленные или обновленные после 11 июня 2026 года. В случае использования зараженных пакетов систему следует считать скомпрометированной, а все токены, ключи и учетные данные рекомендуется немедленно заменить.
В случаях, когда вредонос запускался с правами root, исследователи советуют переустановить систему с доверенного носителя, так как невозможно гарантировать полную очистку после работы руткита.
UPD.
По состоянию на вечер 15 июня регистрация в AUR временно отключена ради борьбы с загрузкой вредоносных пакетов.
