Arch Linux 利用者向けに有志がパッケージ定義 (PKGBUILD) を投稿する AUR (Arch User Repository) で、6 月 11 日から複数波にわたるサプライチェーン攻撃が発生しています。攻撃者は維持放棄された AUR パッケージを正規の引き継ぎ手順で奪取し、PKGBUILD に malicious な npm 依存を追加。yay / paru など AUR ヘルパーでビルドした利用者に Rust 製のクレデンシャル窃取ツールと eBPF ルートキットを配布しました。
主なポイント
- 第 1 波 (6 月 11 日) で 408 パッケージ、第 2 波 (6 月 12 日) で 1,500 件超に拡大したと Sonatype と PrivacyGuides が集計
- 侵害は AUR のみで、公式リポジトリ (core / extra) は影響を受けない
- 悪性 npm パッケージ
atomic-lockfileとjs-digestを通じて Rust バイナリを取得し、SSH キーや開発者シークレットを収集 - root 権限で実行された場合は eBPF ベースのルートキットを追加投入し、プロセスの可視性を低下させ持続化
- 検知ツールは GitHub 上でコミュニティが公開中 (
lenucksi/aur-malware-check)。ローカル AUR キャッシュと yay/paru の操作履歴を確認し、該当パッケージは削除・再構築すべき
出典: Over 400 Arch Linux packages compromised to push rootkit, infostealer (BleepingComputer)