Arch Linux AUR подвергся атаке вредоносного ПО, нацеленного на секреты разработчиков

      Один из крупнейших репозиториев пакетов с открытым исходным кодом только что провел выходные, очищая последствия кампании по распространению вредоносного ПО, которая не взломала ничего. Ей это и не нужно было.

      Злоумышленники захватили контроль над более чем 1,500 пакетами в Arch User Repository, или AUR, сообществом управляемой коллекции программного обеспечения, которая находится рядом с официальными репозиториями Arch Linux, и тихо переписали их инструкции по сборке, чтобы установить кражу учетных данных на любом компьютере, который их компилировал. К понедельнику проект предпринял необычный шаг, заморозив регистрацию новых аккаунтов, пока проводил очистку.

      Число продолжало меняться. Оно начиналось примерно с 400 пакетов, за выходные выросло до более чем 1,500, а один из списков отслеживания назвал 1,579, что сам Arch описал как «много, но не все» из пострадавших. Критически важно, что основное распределение Arch и его официальные репозитории никогда не пострадали.

      Атака на доверие, а не на уязвимость

      Что делает это примечательным, так это то, насколько мало взлома было вовлечено. AUR — это пакеты, предоставленные пользователями, и они явно не поддерживаются: Arch говорит людям читать файл сборки пакета перед его установкой каждый раз. Проверки нет, по замыслу.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Злоумышленники использовали именно это. Они приняли «сиротские» пакеты, те, чьи поддерживающие лица ушли, унаследовав имена, истории и доверие, которые эти пакеты накопили. Безопасная компания Sonatype, которая назвала кампанию «Atomic Arch», обнаружила, что они подделывали данные коммитов git, чтобы изменения выглядели так, будто они пришли от давнего поддерживающего лица.

      Этот аккаунт, как позже подтвердил Arch Trusted User, никогда не был скомпрометирован.

      Изменилась только рецептура сборки. Отредактированные скрипты подтягивали вредоносный npm пакет, atomic-lockfile, установка которого запускала скрытый бинарный файл в момент сборки пакета. Программное обеспечение выглядело точно так же, как то, что пользователи собирались установить. Это та же логика, что и за червем Miasma, который поразил 73 репозитория Microsoft GitHub: подорвать доверие, а не код.

      Ловушка, созданная для разработчиков

      Полезная нагрузка, бинарный файл Rust, реверс-инженерированный исследователем Whanos, создана специально для кражи у разработчиков, что и является целью. Люди, которые создают пакеты AUR, — это именно те люди, чьи машины хранят ключи ко всему остальному.

      Она собирает куки браузера и токены сессий, логины из Slack, Discord и Microsoft Teams, токены GitHub и npm, учетные данные HashiCorp Vault и OpenAI, SSH-ключи, логины Docker и профили VPN, а затем отправляет их и связывается с домом через Tor.

      Это именно те учетные данные, которые используются для подготовки следующей атаки на цепочку поставок, тот же шаблон, что и отравленное расширение VS Code в прошлом году, которое стоило GitHub тысяч репозиториев.

      Ранние сообщения подчеркивали eBPF «руткит», и эта часть заслуживает умеренности. Как отмечает The Hacker News, это опционально, загружается только если вредоносное ПО уже имеет права root и не используется для получения доступа. Когда он запускается, он скрывает вредоносное ПО и блокирует отладчики, что важно по одной причине: если отравленный пакет работал с правами root на вашем компьютере, его удаление недостаточно. Вам нужно переустановить.

      Цена открытой двери

      Ничто из этого не ново для Arch. Почти идентичный трюк с принятием постиг заброшенный пакет PDF-просмотрщика в 2018 году, а в 2025 году проект пережил как двухнедельную атаку отказа в обслуживании, так и набор скомпрометированных браузерных пакетов с удаленным доступом.

      Это также часть более широкого сдвига в 2026 году. Злоумышленники все чаще захватывают сиротские, доверенные проекты, а не занимаются опечатками новых, тактика, которая теперь угрожает и ИИ-кодирующим агентам, нацеленным на незнакомые репозитории. С примерно 13,000 сиротских пакетов, все еще находящихся в AUR, поверхность атаки огромна.

      Поддерживающие лица Arch сбрасывают вредоносные коммиты и блокируют аккаунты, а советы пользователям остаются неизменными: читайте скрипт сборки перед сборкой и относитесь с подозрением к любому недавно принятому или внезапно активному пакету.

      Более сложная проблема — структурная. Репозиторий, который доверяет имени и истории пакета больше, чем тому, кто его поддерживает сегодня, не имеет патча для этого, только решение о том, как долго открытая дверь останется открытой.