Πάνω από 400 πακέτα του AUR του Arch Linux μολύνθηκαν με κακόβουλο λογισμικό

Το Arch User Repository (AUR) — το αποθετήριο πακέτων που συντηρείται από την κοινότητα χρηστών του Arch Linux — δέχθηκε μεγάλης κλίμακας επίθεση κακόβουλου λογισμικού αυτή την εβδομάδα, με πάνω από 400 πακέτα να έχουν παραβιαστεί. Σύμφωνα με αναλύσεις που δημοσιεύθηκαν στις 12 Ιουνίου 2026, φαίνεται ότι ένας νέος συντηρητής πακέτων με το username «arojas» υιοθέτησε και μόλυνε 408 ή και περισσότερα πακέτα.

Πώς λειτούργησε η επίθεση «Atomic Arch»

Η εκστρατεία, που ονομάστηκε «Atomic Arch» από ερευνητές της Sonatype, στοχεύει εγκαταλελειμμένα πακέτα του AUR. Οι επιτιθέμενοι δεν τροποποίησαν άμεσα τον κώδικα των πακέτων, αλλά παρενέβησαν στα αρχεία PKGBUILD τους, προσθέτοντας ένα script εγκατάστασης που εκτελεί την εντολή npm install atomic-lockfile minimist chalk κατά τη διάρκεια της εγκατάστασης.

Όταν οι χρήστες — ή τα AUR helpers όπως το yay — δημιουργούσαν αυτά τα πακέτα μέσω του makepkg, εκτελούνταν αυτόματα η npm install atomic-lockfile. Το πακέτο αυτό, που δημοσιεύθηκε πολύ πρόσφατα, περιλαμβάνει ένα preinstall script (ένα Rust binary στη διαδρομή ./src/hooks/deps) που τρέχει αυτόματα κατά την εγκατάσταση.

Η ανάλυση του κακόβουλου atomic-lockfile αποκάλυψε ένα ενσωματωμένο Linux payload με λειτουργικότητα συλλογής διαπιστευτηρίων (credential harvesting), απόκρυψης ενεργειών, anti-debugging και πιθανής εξαγωγής δεδομένων. Η Sonatype απέδωσε στην εκστρατεία βαθμολογία CVSS 8.7, καταχωρώντας την ως Sonatype-2026-003775.

Η «Atomic Arch» αναδεικνύει έναν αυξανόμενο κίνδυνο αλυσίδας εφοδιασμού: οι επιτιθέμενοι δεν χρειάζεται πλέον να χτίσουν εμπιστοσύνη από το μηδέν — αρκεί να την κληρονομήσουν από εγκαταλελειμμένα αλλά ακόμα αξιόπιστα πακέτα.

Τι επηρεάστηκε και τι όχι

Πάνω από 400 πακέτα θεωρείται ότι επηρεάστηκαν από αυτή την εκστρατεία κακόβουλου λογισμικού στο AUR. Διευκρινίζεται ρητά ότι επηρεάζονται αποκλειστικά πακέτα του AUR και όχι τα επίσημα πακέτα του Arch Linux.

Πολλά πακέτα του AUR έλαβαν κακόβουλα commits, και οι συντηρητές τα αφαιρούν, ενώ οι χρήστες καλούνται να ελέγξουν τα AUR πακέτα πριν από την εγκατάσταση. Η κοινότητα του Arch αξιολογεί ακόμα την πλήρη έκταση του περιστατικού, και ο αριθμός των επηρεαζόμενων πακέτων ενδέχεται να αλλάξει.

Τα συστήματα που επηρεάστηκαν πρέπει να αντιμετωπιστούν ως πλήρως παραβιασμένα. Η απλή αφαίρεση του πακέτου ενδέχεται να μην είναι επαρκής, εφόσον το δεύτερο στάδιο του payload έχει ήδη εκτελεστεί.

Τι πρέπει να κάνεις αν είσαι χρήστης AUR

Οι χρήστες που ενημέρωσαν πρόσφατα πακέτα του AUR πρέπει να ελέγξουν το ιστορικό πακέτων, να εξετάσουν τυχόν ύποπτα install scripts που εκτελέστηκαν, και να θεωρήσουν οποιαδήποτε απροσδόκητη συμπεριφορά εγκατάστασης βασισμένη σε npm ως πιθανό σημάδι παραβίασης.

Αν εγκατέστησες ένα από τα επηρεαζόμενα πακέτα, η σύσταση είναι να αποσυνδεθείς άμεσα από το δίκτυο και να επανεγκαταστήσεις το λειτουργικό σύστημα το συντομότερο δυνατό, καθώς το κακόβουλο λογισμικό αυτού του τύπου μπορεί να είναι επίμονο. Επιπλέον, αντικατέστησε τα SSH keys και τους κωδικούς σου και έλεγξε τα αρχεία καταγραφής πρόσβασης (access logs) για ασυνήθιστη δραστηριότητα.

Το συμβάν αποτελεί υπενθύμιση ότι το AUR είναι ανοιχτό, ανεπίσημο, περιεχόμενο παραγόμενο από χρήστες. Ο μόνος ασφαλής τρόπος χρήσης του Arch User Repository είναι η προσεκτική ανάγνωση κάθε PKGBUILD πριν από οποιαδήποτε εγκατάσταση.

Πηγές

• Phoronix – Arch Linux's AUR Sees More Than 400 Packages Compromised With Malware
• Sonatype – Atomic Arch: Attackers Hijack Trusted AUR Packages to Deliver Rootkit-Like Malware
• CachyOS Forums – AUR Compromised: 400+ packages affected
• Linuxiac – Arch Linux AUR Malware Campaign Hits Multiple User-Contributed Packages
• IFIN Threat Intel – 400+ AUR Packages Compromised with Infostealer and Rootkit