400+ Arch Linux скомпрометировали через infostealer и rootkit

В AUR произошёл серьёзный supply chain-инцидент: новый мейнтейнер, выдававший себя за доверенного участника, «усыновил» и заразил более 408 пакетов.

По данным IFIN, вредоносные изменения уже удалены, но сама история неприятная: атака затронула не один пакет, а сразу сотни пакетов из пользовательского репозитория Arch Linux.

Схема была такой:

- атакующий брал заброшенные AUR-пакеты;

- добавлял вредоносные preinstall-скрипты;

- через них подтягивались npm/Bun-зависимости;

- среди payload были atomic-lockfile и js-digest;

- поведение включало infostealer и признаки eBPF-rootkit.

Особенно опасно здесь не само количество пакетов, а уровень атаки. Это не просто «скрипт что-то скачал». В отчёте упоминаются подозрительные eBPF maps вроде:

- hidden_pids

- hidden_names

- hidden_inodes

То есть речь может идти о попытках скрывать процессы, имена и inode на уровне системы.

Для пользователей Arch важно, если недавно обновляли пакеты из AUR, особенно через yay -Syu или похожие AUR-helper’ы, стоит проверить список затронутых пакетов, посмотреть индикаторы компрометации и при подозрении относиться к системе как к недоверенной.

Официальные репозитории Arch через pacman не то же самое, что AUR. Этот инцидент ещё раз показывает: AUR удобен, но это пользовательский репозиторий, где PKGBUILD нужно читать так же внимательно, как shell-скрипт из интернета.

Источник: https://t.me/linuxkalii/2072