🚹 Si vous tournez sous Arch (ou un dĂ©rivĂ© : Manjaro, EndeavourOS), lisez ceci. 🚹

Écrit par

vcarroy

dans

le

Depuis le 11 juin, une campagne baptisĂ©e « Atomic Arch » a compromis l’Arch User Repository (AUR).

Point important : les dĂ©pĂŽts officiels d’Arch ne sont pas concernĂ©s. Le problĂšme porte sur l’AUR, c’est-Ă -dire les paquets maintenus par la communautĂ©.

Le mode opératoire est redoutablement simple :
→ Les attaquants ont rĂ©cupĂ©rĂ© des paquets AUR orphelins (abandonnĂ©s par leur mainteneur) via le processus d’adoption normal de l’AUR.
→ Ils modifient les PKGBUILD / hooks d’installation pour ajouter une dĂ©pendance malveillante : atomic-lockfile, lockfile-js ou js-digest.
→ Dans certains cas, ils falsifient les mĂ©tadonnĂ©es Git pour donner l’impression que les commits viennent d’un mainteneur lĂ©gitime (« arojas », qui n’y est pour rien).

La charge : un infostealer en Rust + un rootkit eBPF. Cible — clĂ©s SSH, PAT GitHub, tokens npm, sessions Slack/Teams/M365, identifiants Docker, cookies navigateur. Exfiltration via Tor, persistance par service systemd. Le rootkit masque processus et fichiers aux outils classiques.

La démarche si vous avez installé / mis à jour un paquet AUR entre le 9 et le 13 juin :

1. Auditez vos installs sur cette fenĂȘtre (recoupez avec la liste consolidĂ©e : github.com/lenucksi/aur-malware-check + wiki Arch).

2. Considérez le systÚme comme COMPROMIS. Désinstaller ne suffit pas, le code a déjà tourné.

3. Faites tourner TOUS vos crédentials (SSH, tokens, clés cloud, sessions).

4. VĂ©rifiez la persistance (services systemd inconnus) et le rootkit (/sys/fs/bpf/hidden_*) depuis un environnement de confiance.

5. Nettoyage depuis un média de confiance (ISO Arch), réinstallation complÚte fortement recommandée.

La leçon n’est pas nouvelle : ne lancez pas du code que vous n’avez pas lu. Lisez vos diffs de PKGBUILD avant chaque mise Ă  jour (yay –diffmenu, paru –fm).

Et cÎté écosystÚme, le débat est relancé : 2FA obligatoire pour les mainteneurs, commits signés, scan automatisé des PKGBUILD.

En 2026, laisser ces protections optionnelles devient difficile à défendre.

📣 Partagez cette alerte si vous utilisez Arch ou si vous connaissez quelqu’un qui l’utilise.

👉 Merci Ă  Valentin Carroy pour ce poste d’information.

source: https://labs.cloudsecurityalliance.org/research/csa-research-note-aur-supply-chain-ebpf-rootkit-20260614-csa/

Plus de Publications