Arch Linux AUR: 1.500 Pakete mit Rootkit-Malware infiziert
16.06.2026 - 17:24:51 | boerse-global.de
Die Entwickler von Arch Linux haben die Registrierung neuer Nutzer für das Arch User Repository (AUR) vorübergehend gestoppt. Grund ist eine massive Supply-Chain-Attacke, bei der mehr als 1.500 Pakete mit Schadcode infiziert wurden.
Die Sicherheitskampagne mit dem Namen "Atomic Arch" wurde von Forschern mehrerer Unternehmen, darunter Sonatype und StepSecurity, identifiziert. Am 15. und 16. Juni 2026 setzten die Betreiber die Neuanmeldungen aus, um die Community-Plattform zu bereinigen. Die offizielle AUR-Registrierungsseite zeigt seitdem einen 503-Fehler an – die Aufräumarbeiten laufen auf Hochtouren.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Report jetzt herunterladen
Wie die Angreifer vorgingen
Die Sicherheitslücke lag im Adoptionssystem des AUR. Dieses erlaubt es Nutzern, sogenannte "verwaiste" Pakete zu übernehmen – also solche, die keinen aktiven Betreuer mehr haben. Genau diese Funktion nutzten die Angreifer aus. Sie übernahmen hunderte vernachlässigte Pakete und manipulierten die PKGBUILD-Dateien – die Skripte, die zur Kompilierung der Software auf Arch Linux dienen.
Die manipulierten Skripte enthielten bösartige Installationsanweisungen. Sie luden ein schädliches NPM-Paket namens "atomic-lockfile" herunter und führten es aus. Das AUR beherbergt derzeit rund 107.405 Pakete – über 13.000 davon sind verwaist. Ein enormes Angriffspotenzial, wie sich nun zeigt.
Die Zahl der infizierten Pakete stieg rasant an. Waren es Anfang Juni noch etwa 400, stieg die Zahl bis zum 11. Juni 2026 auf über 1.500.
Hochmoderne Schadsoftware mit Rootkit-Funktion
Die "Atomic Arch"-Malware arbeitet auf bemerkenswert hohem Niveau. Sie nutzt einen in Rust kompilierten Binärcode, der ein eBPF-basiertes Rootkit einsetzt. Diese Technologie ermöglicht es der Schadsoftware, tief im System Fuß zu fassen – und zwar so, dass sie von Standard-Überwachungstools wie ps, top oder ls nicht erkannt wird.
Das Hauptziel der Angreifer: das Stehlen von Zugangsdaten. Die Sicherheitsanalysten fanden heraus, dass die Software gezielt folgende Daten abgreift:
- SSH-Schlüssel und Shell-Verlauf
- Browser-Cookies und Sitzungstoken
- API-Schlüssel und Cloud-Zugangsdaten für AWS und Docker
- Daten von Kommunikationsplattformen wie Slack, Discord, Microsoft Teams und Telegram
- GitHub- und NPM-Anmeldedaten
Besonders betroffen: Entwickler-Arbeitsplätze und CI/CD-Umgebungen, wo solche Geheimnisse häufig gespeichert sind. Trotz des Ausmaßes der Kompromittierung scheint die direkte Auswirkung begrenzt – etwa 300 Nutzer sollen die Malware vor ihrer Entdeckung heruntergeladen haben.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus, um sensible Firmendaten wie API-Schlüssel oder Zugangsdaten zu stehlen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und wie man sie entlarvt. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
Zweite Welle: Russische Spam-Injektionen
Nur zwei Tage später, am 14. Juni 2026, schlug eine weitere Angriffswelle zu. Ein automatischer Erkennungsbot identifizierte über 70 AUR-Pakete – darunter solche für Python, Ruby und Llama.cpp – in die russischsprachige Spam-Nachrichten und beleidigende Inhalte eingeschleust worden waren.
Die Nachrichten wurden in Shell-Konfigurationsdateien wie bashrc, zshrc und Fish während der Nachinstallation eingefügt. Analysten vermuten, dass die Angreifer große Sprachmodelle (LLMs) nutzten, um die Inhalte zu generieren und im Repository zu verteilen.
Reaktion und Sicherheitsempfehlungen
Die Arch-Linux-Betreuer begannen bereits am 12. Juni 2026, bekannte bösartige Commits zu löschen und warnten die Community offiziell. Wichtig: Die Kernsysteme und offiziellen Repositories – also "core", "extra" und "multilib" – sind von diesem Vorfall nicht betroffen.
Sicherheitsexperten empfehlen allen Nutzern, die in den letzten Wochen AUR-Pakete installiert haben, ihre PKGBUILD-Dateien gründlich zu überprüfen. Besonderes Augenmerk sollte auf kürzliche Änderungen der Betreuerschaft gelegt werden.
Da die "Atomic Arch"-Malware darauf ausgelegt ist, Sitzungstoken und Schlüssel zu stehlen, reicht eine einfache Entfernung der schädlichen Pakete nicht aus. Betroffene sollten sämtliche Zugangsdaten austauschen – inklusive SSH-Schlüssel und Cloud-API-Token. Eine komplette Neuinstallation des Systems von einer sauberen Quelle wird empfohlen, um das eBPF-Rootkit vollständig zu entfernen.
