🚨 Si vous tournez sous Arch (ou un dérivé : Manjaro, EndeavourOS), lisez ceci. 🚨

Depuis le 11 juin, une campagne baptisée « Atomic Arch » a compromis l’Arch User Repository (AUR).

Point important : les dépôts officiels d’Arch ne sont pas concernés. Le problème porte sur l’AUR, c’est-à-dire les paquets maintenus par la communauté.

Le mode opératoire est redoutablement simple :
→ Les attaquants ont récupéré des paquets AUR orphelins (abandonnés par leur mainteneur) via le processus d’adoption normal de l’AUR.
→ Ils modifient les PKGBUILD / hooks d’installation pour ajouter une dépendance malveillante : atomic-lockfile, lockfile-js ou js-digest.
→ Dans certains cas, ils falsifient les métadonnées Git pour donner l’impression que les commits viennent d’un mainteneur légitime (« arojas », qui n’y est pour rien).

La charge : un infostealer en Rust + un rootkit eBPF. Cible — clés SSH, PAT GitHub, tokens npm, sessions Slack/Teams/M365, identifiants Docker, cookies navigateur. Exfiltration via Tor, persistance par service systemd. Le rootkit masque processus et fichiers aux outils classiques.

La leçon n’est pas nouvelle : ne lancez pas du code que vous n’avez pas lu. Lisez vos diffs de PKGBUILD avant chaque mise à jour (yay –diffmenu, paru –fm).

Et côté écosystème, le débat est relancé : 2FA obligatoire pour les mainteneurs, commits signés, scan automatisé des PKGBUILD.

En 2026, laisser ces protections optionnelles devient difficile à défendre.

📣 Partagez cette alerte si vous utilisez Arch ou si vous connaissez quelqu’un qui l’utilise.

👉 Merci à Valentin Carroy pour ce poste d’information.

source: https://labs.cloudsecurityalliance.org/research/csa-research-note-aur-supply-chain-ebpf-rootkit-20260614-csa/