Auf den Punkt: Angreifer der Kampagne Atomic Arch infiltrieren über 1.500 verwaiste AUR-Pakete mit eBPF-basierten Rootkits zur Credential-Beschaffung, worauf Arch Linux die Registrierung für neue Konten stoppt.
Die Arch-Linux-Community verzeichnet eine koordinierte Supply-Chain-Attacke mit mehr als 1.500 schädlichen Paketen im Arch User Repository (AUR). Arch Linux hat daraufhin Neuregistrierungen für das Repository vorübergehend ausgesetzt.
Die Angreifer zielten systematisch auf verwaiste oder vernachlässigte PKGBUILD-Skripte im Arch User Repository ab, die aus bestehenden Installationen automatisch aktualisiert würden. Zwischen Anfang Juni und 11. Juni 2026 wurden 1.500 manipulierte Pakete identifiziert. Laut Sonatype wechselten die Täter am 12. Juni ihre Taktik: Sie modifizierten zunächst NPM-basierte Installationspfade, änderten dann zu Bun-basierten Lieferketten und luden vollständig neue Schadpakete hoch.
Der eingeschleuste Schadcode tarnt sich als legitimes NPM-Paket namens „atomic-lockfile“. Die Malware nutzt eBPF (Extended Berkeley Packet Filter), um mit Kernel-Privilegien zu laufen und sich dauerhaft im System zu verankern. Sonatype dokumentierte fortgeschrittene Rootkit-Funktionen, darunter Mechanismen zum Verbergen von Prozessen, Dateien und Netzwerkaktivitäten sowie Debugger-Erkennung. Das Schadprogramm konzentriert sich auf das Auslesen von Anmeldedaten: Passwörter, SSH-Artefakte, HashiCorp-Vault-Token, Browser-Cookies und Datenspeicher von Kollaborations-Tools werden erbeutet und per HTTP an externe Server übermittelt.
StepSecurity warnt vor der Hartnäckigkeit der Malware auf befallenen Systemen. Die Sicherheitsfirma empfiehlt betroffenen Organisationen eine vollständige Neuinstallation des Betriebssystems: „Auf Systemen mit erhöhten Rechten kann die Malware eBPF-basierte Persistenzmechanismen anlegen, um Prozess- und Dateiaktivitäten zu verbergen. Dies erschwert Erkennung und Entfernung erheblich. Ein kompromittierter Host ist als vollständig vertrauensunwürdig einzustufen.“ Standard-Malware-Scans reichen nicht aus; alle offengelegten Zugangsdaten müssen neu vergeben werden.
Arch Linux arbeitet an der Isolierung und Entfernung der schadhaften Code-Änderungen aus den Repositorys. Das Unternehmen hat Neuregistrierungen im AUR vorübergehend gestoppt.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.