Auf den Punkt: Attacken auf verwaiste AUR-Pakete mit gefälschten Git-Metadaten liefern Spionage-Malware aus, die unter Root-Rechten ein unsichtbares Kernel-Rootkit installiert.
Angreifer haben mehr als 400 Community-Pakete im Arch User Repository (AUR) von Arch Linux übernommen und mit Schadcode versetzt. Die Kampagne „Atomic Arch" (Sonatype-2026-003775, CVSS 8.7) zielt auf Diebstahl von Entwicklerdaten und Installation eines eBPF-Rootkits.
Sicherheitsforscher der Firma Sonatype haben einen Angriff auf das Arch User Repository entdeckt, bei dem Täter gezielt Pakete übernahmen, deren ursprüngliche Entwickler die Pflege eingestellt hatten. Die manipulierten Git-Commit-Metadaten wurden gefälscht, um die Änderungen als legitime Aktualisierungen langjähriger Maintainer erscheinen zu lassen. Die Manipulationen an Installationsskripten (PKGBUILD und .install-Dateien) begannen ab dem 11. Juni 2026. Die offiziellen Repositories von Arch Linux waren nicht betroffen.
Der Angriffsvektor nutzt Befehle in zwei Wellen: npm install atomic-lockfile 1.4.2 und bun install js-digest, die jeweils ein bösartiges Linux-Skript namens „deps“ als ausführbare Binärdatei nachladeten. Betroffene Pakete sind unter anderem alvr und premake-git. Die in Rust geschriebene Schadsoftware konzentriert sich auf den Diebstahl von Zugangsdaten aus Entwickler- und Build-Umgebungen: Sie extrahiert Cookies, Token und Speicherdaten aus Chromium-Browsern (Chrome, Edge, Brave), Sitzungsdaten aus Electron-Apps (Slack, Discord, Teams), Authentifizierungstoken von GitHub, npm, HashiCorp Vault und OpenAI sowie SSH-Schlüssel, Shell-Befehlsverlauf und VPN-Profile. Gestohlene Daten werden über HTTP an temp.sh versendet, während die Befehlskommunikation über Tor-Hidden-Services erfolgt.
Wurde das Paket mit Root-Rechten installiert, kopiert sich die Malware in /var/lib/ und erstellt eine Systemeinheit unter /etc/systemd/system/, um dauerhaft als systemd-Dienst mit Neustart-Anweisung zu persistieren. Kritisch ist die zusätzliche Installation eines eBPF-Rootkits, das Prozesse, Prozessnamen und Socket-Inodes vor Standard-Überwachungswerkzeugen verbirgt. Das Rootkit nutzt im Kernel verankerte BPF-Maps (hidden_pids, hidden_names, hidden_inodes) und blockiert aktiv das Anhängen von Debuggern. Bei Ausführung ohne Root-Rechte nistet sich die Malware im Heimatverzeichnis ein.
Für CISOs ist die Kernel-Infiltration entscheidend: Das bloße Löschen betroffener Pakete reicht nicht aus. Systeme, die das Paket mit administrativen Rechten installierten, erfordern eine vollständige Neuinstallation des Betriebssystems von vertrauenswürdigen Medien. Bei normalen Benutzerrechten können die Änderungen im Heimatverzeichnis adressiert werden, die Systemeinheit muss jedoch manuell entfernt werden. Empfohlene Sofortmaßnahmen: Audit der Paketinstallationen in der AUR im Zeitraum ab 11. Juni 2026, Prüfung auf verdächtige systemd-Einheiten, Rotation aller Authentifizierungstoken (GitHub, npm, Vault, OpenAI) und SSH-Schlüssel sowie Analyse von Logs für Exfiltration zu temp.sh.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.