Auf den Punkt: Über 400 manipulierte AUR-Pakete verteilen einen Rust-basierten Infostealer mit eBPF-Rootkit-Backup zur Kernel-Persistenz.
Angreifer haben diese Woche über 400 Pakete im Arch User Repository (AUR) übernommen und deren Build-Skripte manipuliert, um einen Credential Stealer auf Entwicklungsmaschinen zu installieren. Die Malware ist ein in Rust geschriebener Infostealer, der bei Root-Rechten zusätzlich ein eBPF-Rootkit laden kann.
Die Angreifer modifizierten die Build-Skripte (PKGBUILDs) von über 400 Paketen im Arch User Repository, um Benutzer, die diese Pakete kompilierten und installierten, automatisch mit dem Infostealer zu infizieren. Das AUR ist Arch Linuxs Community-Paketsammlung und wird von Entwicklern gepflegt und genutzt, die Pakete außerhalb des offiziellen Repositorys beitsteuern.
Die Malware sammelt Entwickler-Credentials und Geheimnisse von der kompromittierten Maschine. Sobald sie mit Root-Privilegien ausgeführt wird, lädt sie zusätzlich ein eBPF-Rootkit, das sich auf Kernel-Ebene verstecken und persistent werden kann — eine deutlich anspruchsvollere Persistenzstrategie als klassische User-Space-Malware.
Für CISOs bedeutet dieser Vorfall ein erhebliches Risiko: Entwickler, die AUR-Pakete nutzen oder selbst aus dem AUR installieren, können ihre SSH-Keys, API-Token, Zertifikate und andere Credentials gefährdet haben. Die Kombination aus Infostealer und eBPF-Rootkit ermöglicht dem Angreifer, sich auch nach Entfernung von User-Space-Malware im System festzusetzen und weitere Aktionen durchzuführen.
Quelle: thehackernews.com · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.