Une campagne de logiciels malveillants touche plus de 400 paquets de l'AUR d'Arch Linux

Le Arch User Repository (AUR) d'Arch Linux est confronté à une opération malveillante d'envergure. Plus de 400 paquets maintenus par la communauté ont été altérés par des commits frauduleux, selon les informations communiquées par les responsables du projet sur la liste de diffusion dédiée. Les travaux de nettoyage sont en cours, les commits malveillants étant supprimés et les comptes concernés bannis.

Cette attaque cible exclusivement l'AUR, qui regroupe des paquets créés et gérés par les utilisateurs, et non les dépôts officiels d'Arch Linux. Les modifications suspectes ajoutaient des commandes npm sans lien avec le logiciel d'origine. La logique malveillante était déclenchée pendant l'installation, employant souvent des paquets npm comme « atomic-lockfile ».

Paquets concernés et mécanismes de l'attaque

Un exemple notable est celui du paquet « alvr », dont une mise à jour frauduleuse a introduit un comportement lié à npm, alors que ce logiciel n'utilise pas habituellement cet outil. D'autres signalements font état de modifications similaires dans plusieurs paquets. Les contributeurs d'Arch Linux invitent les utilisateurs à signaler tout commit suspect dans le fil de discussion central.

Les utilisateurs d'Arch Linux sont invités à ne pas mettre à jour leurs paquets AUR sans vérification préalable. Il est recommandé d'examiner les différences (diff) des fichiers PKGBUILD, de contrôler les nouveaux fichiers « .install », et de se montrer prudent si une mise à jour introduit des commandes npm ou des dépendances sans rapport avec le logiciel.

Recommandations et mesures en cours

Ceux qui ont récemment mis à jour des paquets AUR potentiellement affectés devraient consulter l'historique des paquets, analyser les scripts d'installation exécutés et considérer tout comportement d'installation inattendu basé sur npm comme une possible compromission.

L'ampleur totale de l'incident est encore en cours d'évaluation par la communauté Arch. La liste des paquets concernés pourrait évoluer. Les contributeurs retirent actuellement les contenus malveillants, et les utilisateurs sont rappelés à la vigilance avant toute installation depuis l'AUR.

Pour les échanges en cours, un fil dédié est ouvert sur la liste de diffusion aur-general. La distribution CachyOS, dérivée d'Arch Linux, a également ouvert un espace de discussion sur ses forums pour suivre l'événement.