Крупнейшая атака на ArchLinux. Внедрено более 1500 пакетов, которые воруют данные

В репозитории AUR дистрибутива ArchLinux выявлена масштабная атака, из-за которой в AUR было внедрено более 1500 пакетов, содержащих вредоносное ПО. По некоторым данным, их количество превышает 1900. Репозиторий AUR (Arch User Repository) — это коллекция пакетов от сообщества, которые собираются из исходных кодов. Официальные репозитории Arch Linux не пострадали.

Злоумышленникам удалось внедрить команды в сценарии сборки (PKGBUILD), которые содержали инструкции развертывания ПО для кражи пользовательских данных. Такой подход позволял злоумышленникам распространять вредоносное ПО, не модифицируя само программное обеспечение. Они добавили команды, которые во время установки пакета автоматически скачивали и запускали замаскированный NPM-пакет atomic-lockfile (или его вариации).

Вредоносная программа написана на Rust и представляет собой инфостиллер — программу для кражи данных. Инфостиллер собирал данные браузеров, SSH-ключи, историю команд оболочки, API токены, учетные данные популярных программ. ПО было замаскировано под процесс ядра и выполнялось с повышенными привилегиями.

Список пакетов, которые были скомпрометированы, представлен на странице: https://md.archlinux.org/s/SxbqukK6IA

Команда ArchLinux уже провела масштабную зачистку скомпрометированных пакетов в AUR. Чтобы остановить атаки разработчикам пришлось пойти на крайние меры: временно заблокировать регистрацию новых аккаунтов, а также ограничить создание и обновление пакетов.

Пользователям рекомендовано рассматривать любой пакет из AUR, установленный или обновленный после 11 июня 2026 года, как потенциально скомпрометированный. В первую очередь проверить пакеты из списка. Рекомендуется немедленно сменить все пароли, SSH-ключи и API-токены, которые могли храниться в системе. Если пользователь устанавливал подозрительные пакеты с правами root, то стандартное удаление может быть недостаточным — рекомендовано переустановить систему.