Le dépôt collaboratif AUR (Arch User Repository) d'Arch Linux fait l'objet d'une attaque d'ampleur inédite. Alors que les premières estimations faisaient état d'environ 400 paquets corrompus, les investigations menées ces derniers jours ont révélé que plus de 1 500 paquets ont été compromis. Face à cette situation, l'équipe de maintenance d'Arch Linux a suspendu la création de nouveaux comptes sur l'AUR.
Une contamination en cascade
L'incident, repéré par des chercheurs en sécurité, a été baptisé « Atomic Arch ». Selon les informations disponibles, un unique attaquant a réussi à introduire un logiciel malveillant dans des centaines de paquets en une seule opération. Les paquets officiels d'Arch Linux — core, extra et multilib — ne sont pas touchés ; seuls ceux hébergés sur l'AUR sont concernés.
Le mode opératoire est particulièrement discret. L'assaillant a utilisé la procédure légitime de l'AUR pour reprendre des paquets dits « orphelins », c'est-à-dire abandonnés par leur créateur initial. Plus de 13 000 paquets sont actuellement dans cet état sur la plate-forme. Une fois en possession de ces paquets, l'attaquant a modifié leurs fichiers PKGBUILD afin qu'ils téléchargent et installent un paquet npm piégé au moment de la construction. Cette méthode rend la détection très difficile, car le code malveillant n'apparaît pas dans le dépôt lui-même.
Un malware aux capacités étendues
Le logiciel malveillant déployé est un « stealer » — un voleur d'identifiants — capable de collecter un large éventail d'informations sensibles sur les machines infectées. Sont notamment visés : les clés SSH, les jetons d'authentification de services comme GitHub, npm, Docker ou Podman, les cookies de navigateur, les sessions d'applications de messagerie (Slack, Discord, Telegram) et l'historique des commandes shell.
Si l'utilisateur dispose des privilèges root au moment de l'installation, le malware va plus loin en installant un rootkit basé sur eBPF. Ce composant se cache dans le noyau du système, rendant sa détection et sa suppression particulièrement complexes.
Nettoyage et mesures de protection
Les équipes d'Arch Linux ont entrepris un nettoyage systématique du dépôt pour identifier et supprimer tous les paquets malveillants. La tâche est immense : l'AUR compte plus de 107 000 paquets et environ 141 000 utilisateurs enregistrés. Rien que la semaine dernière, quelque 270 nouveaux paquets ont été ajoutés et plus de 5 500 ont été mis à jour.
Pour endiguer l'afflux de menaces, la création de nouveaux comptes sur l'AUR a été bloquée. Les visiteurs qui tentent d'accéder à la page d'inscription se heurtent à une erreur 503 Service Unavailable. Cette mesure est présentée comme temporaire, le temps que la purge soit achevée.
Comment savoir si l'on est touché ?
Les utilisateurs ayant installé ou mis à jour un paquet depuis l'AUR récemment sont invités à vérifier leur système. Les dépôts officiels ne sont pas affectés, mais quiconque a utilisé l'AUR ces derniers jours doit examiner la provenance des paquets installés. Des outils de contrôle comme aurpkg ou la consultation du fichier /var/log/pacman.log peuvent aider à établir une liste des paquets AUR présents sur la machine.
Si un paquet suspect est identifié, il est conseillé de désinstaller immédiatement toute application douteuse, de changer ses mots de passe et de renouveler ses jetons d'authentification. Étant donné la nature du malware, il est aussi prudent de supposer que toutes les sessions et clés stockées sur la machine peuvent avoir été compromises.
