Arch Linux AUR подвергся атаке вредоносного ПО, нацеленному на секреты разработчиков

      Один из крупнейших репозиториев пакетов с открытым исходным кодом только что провел выходные, очищая последствия кампании с вредоносным ПО, которая не взломала ничего. Ей это и не нужно было.

      Злоумышленники захватили контроль над более чем 1,500 пакетами в Arch User Repository, или AUR, сообществом управляемой коллекции программного обеспечения, которая находится рядом с официальными репозиториями Arch Linux, и тихо переписали их инструкции по сборке, чтобы установить кражу учетных данных на любом компьютере, который их компилировал. К понедельнику проект предпринял необычный шаг, заморозив регистрацию новых аккаунтов, пока проводил очистку.

      Число продолжало расти. Оно начиналось с около 400 пакетов, за выходные поднялось до более чем 1,500, а один список отслеживания назвал 1,579, что сам Arch описал как «много, но не все» из пострадавших. Критически важно, что основное распределение Arch и его официальные репозитории никогда не пострадали.

      Атака на доверие, а не на уязвимость

      Что делает это примечательным, так это то, насколько мало взлома было вовлечено. AUR — это пакеты, отправленные пользователями и явно не поддерживаемые: Arch говорит людям читать файл сборки пакета перед его установкой каждый раз. Проверки нет, по замыслу.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!Злоумышленники именно это и использовали. Они приняли «сиротские» пакеты, те, чьи поддерживающие лица ушли, унаследовав имена, истории и доверие, которые эти пакеты накопили. Безопасностная компания Sonatype, которая назвала кампанию «Atomic Arch», обнаружила, что они подделывали данные git commit, чтобы изменения выглядели так, будто они пришли от давнего поддерживающего лица.

      Этот аккаунт, как позже подтвердил Arch Trusted User, никогда не был скомпрометирован.

      Изменилась только рецептура сборки. Отредактированные скрипты подтягивали вредоносный npm пакет, atomic-lockfile, установка которого запускала скрытый бинарный файл в момент сборки пакета. Программное обеспечение выглядело точно так же, как то, что пользователи собирались установить. Это та же логика, что и за червем Miasma, который поразил 73 репозитория Microsoft GitHub: подорвать доверие, а не код.

      Ловушка, созданная для разработчиков

      Полезная нагрузка, бинарный файл на Rust, обратная разработка которого была проведена исследователем Whanos, создана специально для кражи у разработчиков, что и является целью. Люди, которые создают пакеты AUR, именно те, чьи машины держат ключи ко всему остальному.

      Он собирает куки браузера и токены сессий, логины из Slack, Discord и Microsoft Teams, токены GitHub и npm, учетные данные HashiCorp Vault и OpenAI, SSH-ключи, логины Docker и профили VPN, а затем отправляет их и связывается с домом через Tor.

      Это именно те учетные данные, которые используются для подготовки следующей атаки на цепочку поставок, тот же шаблон, что и в прошлом году с отравленным расширением VS Code, которое стоило GitHub тысяч репозиториев.

      Ранние сообщения подчеркивали eBPF «rootkit», и эта часть заслуживает уточнения. Как отмечает The Hacker News, это необязательно, загружается только если вредоносное ПО уже имеет root, и не используется для получения доступа. Когда оно запускается, оно скрывает вредоносное ПО и блокирует отладчики, что важно по одной причине: если отравленный пакет работал с root на вашем компьютере, его удаление недостаточно. Вам нужно переустановить.

      Цена открытой двери

      Ничто из этого не ново для Arch. Почти идентичный трюк с принятием произошел с заброшенным пакетом PDF-просмотрщика в 2018 году, а в 2025 году проект пережил как двухнедельную атаку отказа в обслуживании, так и набор скомпрометированных браузерных пакетов с удаленным доступом.

      Это также часть более широкого сдвига в 2026 году. Злоумышленники все чаще захватывают сиротские, доверенные проекты, а не занимаются опечатками новых, тактика, которая теперь угрожает и ИИ-кодирующим агентам, направленным на незнакомые репозитории. С примерно 13,000 сиротских пакетов, все еще находящихся в AUR, поверхность атаки огромна.

      Поддерживающие лица Arch сбрасывают вредоносные коммиты и блокируют аккаунты, а советы пользователям остаются прежними: читайте скрипт сборки перед сборкой и относитесь с подозрением к любому недавно принятому или внезапно активному пакету.

      Более сложная проблема — структурная. Репозиторий, который доверяет имени и истории пакета больше, чем тому, кто его поддерживает сегодня, не имеет патча для этого, только решение о том, как долго открытая дверь останется открытой.