Eine groß angelegte Lieferketten-Attacke hat das Arch User Repository (AUR) getroffen, die wichtigste Community-Paketquelle von Arch Linux. Seit dem 11. Juni manipulieren Angreifer dort verwaiste Pakete, um einen Credential-Stealer auf den Rechnern von Nutzerinnen und Nutzern zu installieren. Sicherheitsforscher tauften die Kampagne „Atomic Arch“, die zugehörigen Schadpakete tragen den Namen atomic-lockfile.
Wie das IT-Magazin Heise online berichtet, sind nach einer ersten Auszählung 446 AUR-Pakete betroffen, eine Folgeanalyse spricht von rund 1.500 kompromittierten Einträgen über mehrere Angriffswellen hinweg. ComputerBase und LinuxNews.de bestätigen den Befund: Die Angreifer hätten sich gezielt verwaiste Pakete - also von ihren ursprünglichen Maintainern aufgegebene Projekte - über den regulären AUR-Adoptionsprozess angeeignet und anschließend deren Buildschritte verändert.
Wie der Angriff funktioniert
Beim Bau eines manipulierten Pakets lädt das AUR-Script eine bösartige npm-Abhängigkeit nach: ein Paket namens atomic-lockfile in Version 1.4.2. Über einen preinstall-Hook der npm-Installation wird daraufhin eine Linux-ELF-Binärdatei mit dem Namen deps ausgeführt. Die Sicherheitsfirma Sonatype, die den Code analysiert hat, beschreibt deps als modularen Schädling mit Anti-Debugging-Schutz, Tarnfunktionen und Persistenzmechanismen.
Im Visier stehen Zugangsdaten der gesamten Entwickler-Werkbank: gespeicherte Logins aus Chromium-basierten Browsern wie Brave, Vivaldi, Opera, Edge und Chrome, Sitzungen aus Electron-Apps wie Microsoft Teams, Discord und Slack sowie Tokens für GitHub, npm, ChatGPT, HashiCorp Vault, Docker, SSH und VPN-Clients. Die Kommunikation mit der Steuerinfrastruktur läuft laut der Analyse über einen Tor-Onion-Dienst. Optional schaltet die Malware ein eBPF-basiertes Rootkit nach, das den Schädling vor herkömmlichen Linux-Tools verbirgt.
Wer betroffen ist - und wer nicht
Die offiziellen Arch-Linux-Paketquellen sind nicht kompromittiert, das stellten die Maintainer ausdrücklich klar. Wer ausschließlich pacman gegen die offiziellen Repositories nutzt, ist nicht gefährdet. Riskant ist die Lage für Nutzerinnen und Nutzer, die AUR-Helfer wie yay, paru oder pamac einsetzen und die Buildanweisungen nicht manuell prüfen. ComputerBase weist darauf hin, dass Derivate mit grafischen AUR-Installern - etwa CachyOS und Manjaro - dadurch ein höheres Risiko tragen. Das CachyOS-Team stellt im Forum bereits ein Prüfskript bereit, mit dem sich infizierte Installationen identifizieren lassen.
Die Arch-Maintainer reagierten mit einer umfangreichen Aufräumaktion: Schadhafte Commits werden aus dem AUR entfernt, die Konten der Angreifer gesperrt. Heise zitiert aus einem Aufruf der Community, verdächtige Pakete zu melden und die AUR-Mailingliste für Sicherheitswarnungen zu abonnieren. Eine detaillierte technische Analyse der Schadsoftware ist auf ioctl.fail dokumentiert.
Die Empfehlung der Maintainer bleibt unverändert die altbekannte: Vor jeder Installation aus dem AUR sind PKGBUILD-Dateien und die hinterlegten Build-Scripte zu lesen. Automatisierte AUR-Helfer, die diesen Schritt überspringen, haben in den vergangenen Tagen für die Angreifer den Unterschied gemacht. Wie weit die Kampagne tatsächlich reicht, ist offen - die Aufzählung kompromittierter Pakete wächst noch.