Arch Linux AUR colpito da malware che mira ai segreti degli sviluppatori

      Uno dei più grandi repository di pacchetti open-source ha appena trascorso un weekend a ripulire dopo una campagna di malware che non è riuscita a compromettere nulla. Non ne aveva bisogno. Gli aggressori hanno preso il controllo di oltre 1.500 pacchetti nell'Arch User Repository, o AUR, la collezione di software gestita dalla comunità che si affianca ai repository ufficiali di Arch Linux, e hanno silenziosamente riscritto le istruzioni di compilazione per installare un rubapassaggi su qualsiasi macchina che li compilasse. Entro lunedì, il progetto aveva preso l'insolita decisione di congelare la registrazione di nuovi account mentre effettuava la pulizia. Il numero continuava a cambiare. Era iniziato con circa 400 pacchetti, era salito oltre 1.500 durante il weekend, e un elenco di monitoraggio ne contava 1.579, che Arch stesso ha descritto come "molti, ma non tutti" quelli colpiti. Fondamentalmente, la distribuzione principale di Arch e i suoi repository ufficiali non sono mai stati colpiti. Un attacco alla fiducia, non un difetto. Ciò che rende questo notevole è quanto poco hacking sia stato coinvolto. L'AUR è inviato dagli utenti ed esplicitamente non supportato: Arch dice alle persone di leggere il file di build di un pacchetto prima di installarlo, ogni volta. Non c'è alcuna verifica, per design. Il 💜 della tecnologia dell'UE. Gli ultimi rumori dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Gli aggressori hanno sfruttato esattamente questo. Hanno adottato pacchetti "orfani", quelli i cui manutentori si erano allontanati, ereditando i nomi, le storie e la fiducia che quei pacchetti avevano costruito. La società di sicurezza Sonatype, che ha soprannominato la campagna "Atomic Arch", li ha trovati a falsificare i dati dei commit git in modo che le modifiche sembrassero provenire da un manutentore di lunga data. Quel conto, un Arch Trusted User, ha successivamente confermato, non è mai stato effettivamente compromesso. Solo la ricetta di build è cambiata. Script modificati hanno importato un pacchetto npm malevolo, atomic-lockfile, il cui hook di installazione eseguiva un binario nascosto nel momento in cui il pacchetto veniva costruito. Il software sembrava esattamente ciò che gli utenti intendevano installare. È la stessa logica dietro il worm Miasma che ha colpito 73 repository Microsoft GitHub: compromettere la fiducia, non il codice. Una trappola costruita per gli sviluppatori. Il payload, un binario Rust reverse-engineered dal ricercatore Whanos, è progettato per derubare specificamente gli sviluppatori, ed è questo il punto. Le persone che costruiscono pacchetti AUR sono esattamente quelle le cui macchine detengono le chiavi per tutto il resto. Raccoglie cookie del browser e token di sessione, accessi da Slack, Discord e Microsoft Teams, token GitHub e npm, credenziali HashiCorp Vault e OpenAI, chiavi SSH, accessi Docker e profili VPN, quindi li spedisce e chiama casa tramite Tor. Queste sono le esatte credenziali utilizzate per seminare il prossimo attacco alla catena di approvvigionamento, lo stesso schema dell'estensione VS Code avvelenata dello scorso anno che è costata a GitHub migliaia di repository. La copertura iniziale ha enfatizzato un "rootkit" eBPF, e quella parte merita di essere temperata. Come nota The Hacker News, è opzionale, si carica solo se il malware ha già i permessi di root, e non viene utilizzato per ottenere accesso. Quando viene eseguito, nasconde il malware e blocca i debugger, il che è importante per un motivo: se un pacchetto avvelenato viene eseguito con i permessi di root sulla tua macchina, rimuoverlo non è sufficiente. Devi reinstallarlo. Il costo di una porta aperta. Nulla di tutto ciò è nuovo per Arch. Un trucco di adozione quasi identico ha colpito un pacchetto PDF-viewer abbandonato nel 2018, e nel 2025 il progetto ha affrontato sia un attacco di denial-of-service lungo due settimane sia un insieme di pacchetti browser compromessi contenenti un trojan di accesso remoto. È anche parte di un cambiamento più ampio del 2026. Gli aggressori stanno sempre più dirottando progetti orfani e fidati piuttosto che fare typosquatting su nuovi, una tattica che ora minaccia anche gli agenti di codifica AI puntati su repository sconosciuti. Con circa 13.000 pacchetti orfani ancora presenti nell'AUR, la superficie di attacco è enorme. I manutentori di Arch stanno ripristinando i commit malevoli e vietando gli account, e il consiglio agli utenti rimane invariato: leggi lo script di build prima di costruire e tratta qualsiasi pacchetto recentemente adottato o improvvisamente attivo con sospetto. Il problema più difficile è strutturale. Un repository che si fida del nome e della storia di un pacchetto piuttosto che di chi lo sta mantenendo oggi non ha una soluzione per questo, solo una decisione su quanto a lungo la porta aperta rimarrà aperta.