Καμπάνια malware "Atomic Arch" σε εκατοντάδες πακέτα του AUR

Aν χρησιμοποιείτε το AUR, ρίξτε μια ματιά παρακάτω.

Η Sonatype (μαζί με αρκετούς ανεξάρτητους ερευνητές) εντόπισε μια supply-chain επίθεση που βαφτίστηκε “Atomic Arch”. Το κόλπο είναι απλό αλλά αποτελεσματικό: οι επιτιθέμενοι βρήκαν ορφανά (orphaned) πακέτα του AUR, τα υιοθέτησαν με ψεύτικους λογαριασμούς και έκαναν ένα commit που πειράζει το PKGBUILD / .install script.

Τι πρόσθεσαν; Μια γραμμή τύπου:
npm install atomic-lockfile

Έτσι, μόλις χτίζεις/εγκαθιστάς το πακέτο, κατεβαίνει το κακόβουλο npm πακέτο atomic-lockfile. Αυτό τρέχει ένα binary στη φάση preinstall, με συμπεριφορά τύπου rootkit και μαζεύει SSH keys, GitHub tokens, browser cookies κλπ.

Οι πρώτες αναφορές μιλούσαν για “πάνω από 20”, αλλά γρήγορα φάνηκε ότι η ιστορία ήταν πολύ μεγαλύτερη. Αυτή τη στιγμή έχουμε 353 επαληθευμένα ονόματα πακέτων και αναφορές για “400+ κακόβουλα commits”

Τα επίσημα repos του Arch (core/extra/community) ΔΕΝ επηρεάστηκαν. Αυτά είναι υπογεγραμμένα από τους Arch packagers. Όλο το θέμα αφορά αποκλειστικά το AUR.

Καλή πρακτική

Όταν κάνουμε εγκατάταση πακέτων από το AUR διαβάζουμε ΠΑΝΤΑ το PKGBUILD πριν χτίσουμε. Είναι μια καλή συνήθεια προς υιοθέτηση. Τώρα με την επέλευση της AI / Bots κλπ θα δούμε κι άλλα τέτοια περιστατικά υποθέτω.

Πηγές:

https://lists.archlinux.org/hyperkitty/list/aur-general@lists.archlinux.org/latest?count=200

8 «Μου αρέσει»

UPDATE 24/06/2026

Επειδή ο δημιουργός κατήργησε το bash και τρέχει μόνο python (3.14), η νέα εντολή είναι

python -m aur_check --full

(αντί για bash aur_check-v2.sh --full)

=============================
Βρήκα αυτό ( GitHub - lenucksi/aur-malware-check: Detection tools for the June 2026 atomic-lockfile AUR supply-chain attack. Consolidated from community Gists. · GitHub )

Το έτρεξα (σε Manjaro) με

cd /tmp
git clone "https://github.com/lenucksi/aur-malware-check"
cd aur-malware-check
bash aur_check-v2.sh --full

Δεν διορθώνει κάτι, απλά ελέγχει αν έχει εγκατασταθεί κάποιο από τα κακόβουλα πακέτα στο μηχάνημα την περίοδο 09/06/2026-12/06/2026. Το σκριπτάκι ανανεώνεται με νέα πακέτα, οπότε το τρέχω μια φορά την ημέρα.

Στην περίπτωση μου βγήκαν όλα καθαρά. Ελπίζω να ισχύει κιόλας.

5 «Μου αρέσει»