Arch Linux AUR: 1.500 Pakete mit Malware verseucht

Wer Arch Linux fährt, sollte gerade die Finger vom AUR lassen. Sicherheitsforscher haben eine der größten Angriffswellen in der Geschichte des Arch User Repository aufgedeckt. Die Kampagne trägt den Namen Atomic Arch — und sie hat binnen Tagen über 1.500 Pakete mit Schadcode verseucht. Dahinter stecken ein Rootkit und ein Datendieb, die es auf deine Passwörter und Zugangs-Tokens abgesehen haben.

UNGLAUBLICH: Aus 408 wurden über 1.500 Pakete

Aufgefallen ist die Kampagne rund um den 11. Juni. Der Sicherheitsdienstleister Sonatype zählte in der ersten Welle 408 betroffene Pakete. Schon einen Tag später, am 12. Juni, war die Zahl auf über 1.500 explodiert. Das macht Atomic Arch zu einem der größten AUR-Vorfälle überhaupt.

Wichtig zur Einordnung: Die offiziellen Arch-Repositories sind NICHT betroffen. Erwischt hat es ausschließlich das von der Community gepflegte AUR — also die Paket-Bauanleitungen, die du dir freiwillig von Drittanbietern holst.

So lief der Angriff ab

Die Angreifer gingen erschreckend systematisch vor. Sie suchten gezielt nach verwaisten Paketen — also solchen ohne aktiven Betreuer — und übernahmen sie über den ganz normalen Adoptions-Prozess des AUR. Mit der Kontrolle in der Hand veränderten sie die PKGBUILD-Dateien. Das sind die Bau-Skripte, die dein AUR-Helfer bei der Installation ausführt.

Die manipulierten Skripte luden im Hintergrund still zwei bösartige npm-Pakete nach: atomic-lockfile und js-digest. Darin steckte eine Linux-Schadlast, die auf Tarnung, Anti-Debugging und das Absaugen von Zugangsdaten ausgelegt war — ein Rootkit kombiniert mit einem klassischen Infostealer.

SO schützt du dich JETZT

Erstmal: Stopp. Installiere und aktualisiere vorerst keine AUR-Pakete, bis die Lage klar bereinigt ist. Wer in den letzten Tagen frisch aus dem AUR gebaut hat, sollte das ernst nehmen.

PKGBUILD prüfen: Schau dir die Bau-Skripte kürzlich installierter Pakete an. Tauchen darin atomic-lockfile, js-digest oder verdächtige npm-Aufrufe auf, ist das ein klares Warnsignal.

Aufräumen: Auf einem betroffenen System gilt: verdächtige Pakete entfernen und vor allem alle Zugangsdaten und Tokens neu setzen, die auf dem Rechner lagen — SSH-Schlüssel, API-Tokens, Passwörter. Im Zweifel ist eine saubere Neuinstallation der sicherste Weg.

Häufige Fragen

Bin ich betroffen, wenn ich nur pacman nutze?

Nein. Der Angriff betrifft ausschließlich das community-gepflegte AUR. Die offiziellen Arch-Repositories, aus denen pacman seine Pakete zieht, sind sauber. Riskant wird es nur, wenn du Pakete über AUR-Helfer wie yay oder paru installierst oder baust.

Wie erkenne ich ein kompromittiertes Paket?

Sieh dir die PKGBUILD-Datei an, bevor du baust. Verdächtig sind nachgeladene npm-Pakete wie atomic-lockfile oder js-digest sowie Skript-Teile, die im Hintergrund Dateien aus dem Netz holen. AUR-Helfer bieten an, die PKGBUILD vor der Installation anzuzeigen — nutze das.

Wie bereinige ich ein betroffenes System?

Entferne die verdächtigen Pakete und gehe davon aus, dass Zugangsdaten abgeflossen sein könnten. Setze deshalb SSH-Schlüssel, API-Tokens und Passwörter neu. Da ein Rootkit im Spiel ist, gibt eine vollständige Neuinstallation am Ende die größte Sicherheit.

Warum konnte das passieren?

Das AUR lebt davon, dass jeder Pakete beisteuern und herrenlose Pakete übernehmen darf. Genau diesen Adoptions-Mechanismus haben die Angreifer ausgenutzt, um sich Kontrolle über verwaiste Pakete zu verschaffen. Pakete aus dem AUR sind ungeprüfter Fremdcode — das war schon immer so, dieser Vorfall führt es drastisch vor.

Quellen: Atomic Arch (Threat-Modeling) · 400+ AUR-Pakete kompromittiert (BleepingComputer) · AUR-Malware-Vorfall (Phoronix)

GIFT-ALARM für Arch-Nutzer! Über 1.500 Pakete verseucht — installiere JETZT nichts aus dem AUR