La campagne de logiciels malveillants qui cible le dépôt AUR d'Arch Linux a pris une ampleur considérable ces derniers jours. Alors que l'on estimait initialement le nombre de paquets compromis à environ 400, les investigations menées par la communauté portent désormais ce chiffre à plus de 900. Les attaquants auraient déposé des codes malveillants de type « infostealer » (voleur d'informations) ainsi que des rootkits, des programmes conçus pour dissimuler leur présence et permettre un accès distant non autorisé.
Actions en cours des administrateurs
Face à cette situation, les équipes en charge de l'AUR (Arch User Repository) ont intensifié leurs efforts. Jonathan Grotelüschen, l'un des administrateurs, a indiqué que des opérations sont en cours pour « réinitialiser ou supprimer tous les commits malveillants et bannir les comptes impliqués ». Il invite les utilisateurs qui découvriraient d'autres paquets suspects à les signaler en répondant à un fil de discussion dédié sur la liste de diffusion de l'AUR, afin de centraliser les signalements.
Les administrateurs travaillent à l'analyse des modifications frauduleuses et à la révocation des accès des comptes compromis. Le processus de nettoyage, bien que méthodique, s'annonce long compte tenu du nombre élevé de paquets touchés.
Nature de la menace et risques pour les utilisateurs
Les logiciels malveillants identifiés relèvent de deux grandes catégories. D'une part, des « infostealers », capables de dérober des informations sensibles telles que des mots de passe, des clés de chiffrement ou des données bancaires. D'autre part, des rootkits, qui permettent de prendre le contrôle d'un système tout en échappant à la détection par les logiciels de sécurité classiques.
Ces codes ont été injectés dans les fichiers sources de paquets légitimes, de sorte qu'un utilisateur installant ou mettant à jour l'un de ces paquets via l'AUR se retrouve infecté à son insu. La porte d'entrée privilégiée semble être la modification de fichiers PKGBUILD ou l'ajout de scripts malveillants dans les étapes de compilation.
Réaction de la communauté
La nouvelle a suscité une vive réaction parmi les utilisateurs d'Arch Linux. Sur les forums et listes de diffusion, de nombreux participants ont commencé à examiner les mises à jour récentes des paquets qu'ils utilisent. Des outils de vérification ont été partagés pour aider à détecter des anomalies dans les fichiers de construction.
Le débat porte également sur la sécurité intrinsèque de l'AUR, qui repose sur la confiance accordée aux mainteneurs bénévoles. Plusieurs voix s'élèvent pour demander un renforcement des mécanismes de contrôle, notamment la validation systématique des changements par les administrateurs avant leur mise en ligne.
Recommandations aux utilisateurs
En attendant que la situation soit résorbée, il est conseillé aux utilisateurs de l'AUR d'Arch Linux de suspendre temporairement toute installation ou mise à jour provenant de ce dépôt non officiel. Ceux qui auraient déjà installé des paquets récemment sont invités à vérifier leur intégrité et à surveiller leur système pour détecter toute activité suspecte.
Les administrateurs promettent de communiquer régulièrement sur l'avancement des opérations de nettoyage. Un nouveau point est attendu dans les prochains jours.
