ИИтог

Более 400 пакетов в AUR заражены инфостилером и руткитом

безопасностьРедакция ИИтогHacker News🔥19149 баллов · 8 ч · 81 коммент. · 19
Более 400 пакетов в AUR заражены инфостилером и руткитом

11 июня 2026 года в Arch User Repository выявили цепочку атак на поставку: злоумышленник выдавал себя за доверенного мейнтейнера и массово усыновлял неподдерживаемые проекты, после чего правил PKGBUILD и подсовывал вредоносный код. Пострадало свыше 408 пакетов. Доставка шла волнами через разные менеджеры: сначала npm-пакет atomic-lockfile (134 загрузки), затем установка js-digest через Bun, а 14 июня появилась обфусцированная зависимость nextfile-js.

Полезная нагрузка состояла из двух частей. Инфостилер выкачивал учётные данные и чувствительные данные, а eBPF-руткит закреплялся на уровне ядра, скрывая процессы, имена и inode через подозрительные карты hidden_pids, hidden_names и hidden_inodes. Исследователь mttaggart задокументировал атаку, а команда Arch 15 июня отключила регистрацию в AUR. Пользователям, установившим заражённые пакеты, грозит кража кредов и компрометация системы вплоть до необходимости полной переустановки.

Ключевые факты

  • Скомпрометировано более 408 пакетов AUR через усыновление заброшенных проектов
  • Доставка волнами: atomic-lockfile (npm), js-digest (Bun), nextfile-js (обфускация)
  • Нагрузка: инфостилер плюс eBPF-руткит с картами hidden_pids, hidden_names, hidden_inodes
  • Атаку задокументировал исследователь mttaggart
  • 15 июня регистрацию в AUR отключили; заражённым системам нужна переустановка

«Выяснилось, что автоматизация поиска заброшенных пакетов и их усыновления встречается не так уж редко.»

— из разбора атаки