Depuis le 11 juin, une campagne baptisée « Atomic Arch » a compromis l’Arch User Repository (AUR).
Point important : les dépôts officiels d’Arch ne sont pas concernés. Le problème porte sur l’AUR, c’est-à-dire les paquets maintenus par la communauté.
Le mode opératoire est redoutablement simple :
→ Les attaquants ont récupéré des paquets AUR orphelins (abandonnés par leur mainteneur) via le processus d’adoption normal de l’AUR.
→ Ils modifient les PKGBUILD / hooks d’installation pour ajouter une dépendance malveillante : atomic-lockfile, lockfile-js ou js-digest.
→ Dans certains cas, ils falsifient les métadonnées Git pour donner l’impression que les commits viennent d’un mainteneur légitime (« arojas », qui n’y est pour rien).
La charge : un infostealer en Rust + un rootkit eBPF. Cible — clés SSH, PAT GitHub, tokens npm, sessions Slack/Teams/M365, identifiants Docker, cookies navigateur. Exfiltration via Tor, persistance par service systemd. Le rootkit masque processus et fichiers aux outils classiques.
La démarche si vous avez installé / mis à jour un paquet AUR entre le 9 et le 13 juin :
1. Auditez vos installs sur cette fenêtre (recoupez avec la liste consolidée : github.com/lenucksi/aur-malware-check + wiki Arch).
2. Considérez le système comme COMPROMIS. Désinstaller ne suffit pas, le code a déjà tourné.
3. Faites tourner TOUS vos crédentials (SSH, tokens, clés cloud, sessions).
4. Vérifiez la persistance (services systemd inconnus) et le rootkit (/sys/fs/bpf/hidden_*) depuis un environnement de confiance.
5. Nettoyage depuis un média de confiance (ISO Arch), réinstallation complète fortement recommandée.
La leçon n’est pas nouvelle : ne lancez pas du code que vous n’avez pas lu. Lisez vos diffs de PKGBUILD avant chaque mise à jour (yay –diffmenu, paru –fm).
Et côté écosystème, le débat est relancé : 2FA obligatoire pour les mainteneurs, commits signés, scan automatisé des PKGBUILD.
En 2026, laisser ces protections optionnelles devient difficile à défendre.
📣 Partagez cette alerte si vous utilisez Arch ou si vous connaissez quelqu’un qui l’utilise.
👉 Merci à Valentin Carroy pour ce poste d’information.