Mer enn 400 pakker i Arch User Repository (AUR) ble kompromittert i et forsyningskjedeangrep forskere har døpt «Atomic Arch», oppdaget rundt 11. juni 2026. Angriperne overtok foreldreløse AUR-pakker gjennom AURs vanlige adopsjonsprosess og endret PKGBUILD-skriptene som AUR-hjelpere som yay og paru kjører under installasjon.
De modifiserte skriptene hentet og installerte to falske npm-pakker, atomic-lockfile og js-digest, som leverte en infostealer i flere trinn. Skadevaren stjal nettleserpassord og session-cookies, private SSH-nøkler, miljøvariabler med API-tokens og skynøkler, samt kryptolommebøker. Den skjulte egne prosesser som legitime kjernetråder for å unngå oppdagelse i verktøy som ps og htop.
Arch sine offisielle repoer [core], [extra] og [multilib] forble upåvirket, fordi de er underlagt strengere gjennomgang. Arch-teamet reverterte de ondsinnede commitene, bannlyste angriperkontoene og publiserte en sjekkliste over berørte pakker. Hendelsen rammet altså bare det community-vedlikeholdte AUR, ikke kjernedistribusjonen.
Hva bør du gjøre?
- Kjør
pacman -Qmfor å liste alle AUR-pakker, og kryssjekk mot den publiserte listen over kompromitterte pakker.
- Roter alle nøkler (nettleserpassord, SSH-nøkler, API-tokens, skytilgang) hvis du installerte en flagget pakke mellom 10. og 12. juni.
- Skann etter skjulte prosesser med
rkhunterellerchkrootkit, og slå på PKGBUILD-gjennomgang i AUR-hjelperen din.