Thought Leadership
Arch Linux stoppt Neuregistrierungen im AUR-Repository nach einer massiven Welle manipulierter Softwarepakete durch die Kampagne Atomic Arch.
Die Verantwortlichen der Linux-Distribution Arch Linux haben die Neuregistrierung von Benutzerkonten für das Arch User Repository (AUR) vorübergehend ausgesetzt. Grund hierfür ist eine koordinierte Lieferketten-Angriffswelle unter dem Namen Atomic Arch. Das gemeinschaftsbasierte Repository ermöglicht es Nutzern, eigene Build-Skripte (PKGBUILDs) für Software bereitzustellen, die nicht in den offiziellen Verzeichnissen enthalten ist. Die Kampagne begann in der vergangenen Woche. Bis zum 11. Juni 2026 wurden mehr als 1.500 schädliche Pakete identifiziert.
Die Angreifer konzentrierten sich gezielt auf verwaiste oder unbetreute Pakete, die zuvor regulär genutzt wurden, um eine hohe Reichweite zu erzielen. Das Sicherheitsunternehmen Sonatype dokumentierte, dass die Täter zunächst bestehende Skripte modifizierten, um während der Installation ein bösartiges NPM-Paket auszuführen. Am 12. Juni wechselten sie zu Bun-basierten Installationspfaden und luden komplett neue Schadpakete hoch.
Kernel-Privilegien und Datendiebstahl per Rootkit
Die Angreifer veränderten die PKGBUILD-Dateien der betroffenen Softwarepakete, um Schadcode einzuschleusen, der sich als das legitime NPM-Paket atomic-lockfile tarnt. Das ausgeführte Linux-Programm nutzt die eBPF-Technologie (extended Berkeley Packet Filter), die es Programmen erlaubt, direkt innerhalb des Linux-Kernels mit erweiterten Privilegien zu laufen, was mutmaßlich zur dauerhaften Verankerung im System dient.
Analysen von Sonatype zeigen, dass die Malware über hochentwickelte Rootkit-Funktionen verfügt. Dazu gehören Mechanismen zum Verbergen von Prozessen, Dateien und Netzwerkaktivitäten sowie Funktionen zur Erkennung von Debuggern und Diagnoseschnittstellen. Die Schadsoftware zielt primär auf das Auslesen und den Diebstahl von Zugangsdaten ab. Betroffen sind Passwörter, SSH-Artefakte, Token von HashiCorp Vault, Browser-Cookies sowie Datenspeicher gängiger Kollaborationsanwendungen. Die erbeuteten Daten werden per HTTP-Anfrage an externe Server übermittelt.
Empfehlungen zur Bereinigung infizierter Linux-Systeme
Die IT-Sicherheitsfirma StepSecurity bewertete die Hartnäckigkeit der Schadsoftware auf infizierten Systemen kritisch. Das Unternehmen betonte die Notwendigkeit einer vollständigen Neuinstallation des Betriebssystems für betroffene Hosts:
„Auf Systemen, auf denen sie mit erhöhten Rechten läuft, kann die Schadsoftware auch eine eBPF-basierte Persistenz versuchen, um Prozesse und Dateiaktivitäten zu verbergen, was die Erkennung und Bereinigung erheblich erschwert. Ein kompromittierter Host sollte als völlig vertrauensunwürdig behandelt werden: Erstellen Sie das System von sauberen Medien neu und rotieren Sie alle offengelegten Zugangsdaten. Ein einmaliger Malware-Scan ist nicht ausreichend.“
IT-Sicherheitsfirma StepSecurity
Arch Linux arbeitet derzeit daran, die schädlichen Code-Änderungen in den Repositorys zu isolieren und zu entfernen.
(red)
