Thought Leadership
Hacker haben über 400 Community-Pakete im Arch User Repository manipuliert, um Passwörter zu stehlen und ein eBPF-Rootkit zu installieren.
Sicherheitsforscher haben einen Angriff auf das Arch User Repository (AUR) von Arch Linux aufgedeckt. Bei der von der Sicherheitsfirma Sonatype als Atomic Arch identifizierten Kampagne wurden mehr als 400 Pakete von Angreifern übernommen. Die offiziellen Repositories von Arch Linux waren von dem Vorfall nicht betroffen. Die Kampagne wird unter der Kennung Sonatype-2026-003775 mit einem CVSS-Risikowert von 8.7 geführt. Die Angreifer nutzten dabei gezielt verwaiste Projekte aus, deren ursprüngliche Entwickler die Pflege eingestellt hatten.
Um das Vertrauen der Nutzer zu missbrauchen, fälschten die Täter die Git-Commit-Metadaten, sodass die Änderungen wie legitime Aktualisierungen langjähriger Maintainer wirkten. Die Manipulationen an den Installationsskripten (PKGBUILD oder .install) wurden ab dem 11. Juni 2026 registriert. Während des regulären Erstellungsprozesses eines Pakets fielen manipulierte Befehle wie npm install atomic-lockfile in der Version 1.4.2 oder bun install js-digest in einer zweiten Welle an. Diese Befehle luden ein schädliches Linux-Skript namens deps nach, das als ausführbare Binärdatei im Hintergrund aktiv wurde. Zu den nachweislich betroffenen Software-Paketen gehören unter anderem alvr und premake-git.
Funktionsumfang des Rust-basierten Schadprogramms für Linux
Bei der Schadsoftware handelt es sich um ein in Rust geschriebenes Spionage-Werkzeug, das primär auf die Zugangsdaten von Entwicklern und Build-Systemen ausgerichtet ist. Die gestohlenen Daten werden per HTTP an die Plattform temp.sh übertragen, während die Befehlsübermittlung über einen Tor-Onion-Dienst abgewickelt wird. Das Programm extrahiert systematisch folgende Informationen aus den infizierten Systemen:
- Cookies, Token und lokale Speicherdaten aus Chromium-basierten Browsern wie Chrome, Edge und Brave
- Sitzungsdaten aus Electron-Anwendungen einschließlich Slack, Discord und Microsoft Teams
- Authentifizierungstoken für Plattformen wie GitHub, npm, HashiCorp Vault und OpenAI
- SSH-Schlüssel, Verzeichnisse bekannter Hosts und den Befehlsverlauf der Shell
- Zugangsdaten für Docker- und Podman-Umgebungen sowie hinterlegte VPN-Profile
Zur langfristigen Absicherung im System installiert die Schadsoftware einen systemd-Dienst mit einer automatischen Neustart-Anweisung. Wenn das Programm mit normalen Benutzerrechten ausgeführt wird, nistet es sich im Heimatverzeichnis des Nutzers ein.
Aktivierung des optionalen eBPF-Rootkits
Falls die Installation des manipulierten Pakets mit administrativen Root-Rechten durchgeführt wurde, kopiert sich die Schadsoftware in das Verzeichnis /var/lib/ und hinterlegt eine Systemeinheit unter /etc/systemd/system/. In diesem Fall lädt das Programm zusätzlich ein optionales eBPF-Rootkit nach. Dieses dient dazu, die Prozesse, Prozessnamen und Socket-Inodes der Schadsoftware vor den Standard-Überwachungswerkzeugen des Betriebssystems zu verbergen.
Hierzu nutzt das Rootkit im Kernel verankerte BPF-Karten mit den Bezeichnungen hidden_pids, hidden_names und hidden_inodes. Zudem blockiert die Komponente aktiv Versuche, einen Debugger an die betroffenen Prozesse anzuhängen. Aufgrund dieser Kernel-Infiltration reicht das bloße Löschen des betroffenen AUR-Pakets für eine Bereinigung nicht aus. Wenn der Schadcode mit administrativen Rechten ausgeführt wurde, wird eine vollständige Neuinstallation des Betriebssystems von einem vertrauenswürdigen Medium empfohlen.
(red)
