Ces derniers jours, le dépôt communautaire AUR d’Arch Linux a été la cible d’une campagne de diffusion de logiciels malveillants : de nombreux paquets maintenus par des utilisateurs ont reçu des commits malveillants qui tentent d’ajouter le téléchargement d’un malware via npm lors de l’installation. Voici ce que l’on sait sur cet incident de sécurité.
Mauvaise nouvelle pour les utilisateurs d’Arch Linux : l’AUR (Arch User Repository) est touché par un incident de sécurité important, puisque plus de 400 paquets infectés par un rootkit et un infostealer ont été distribués aux utilisateurs. Pour rappel, l’AUR est un dépôt communautaire qui apporte un bon complément au dépôt officiel d’Arch Linux, notamment parce qu’il donne accès à des outils que ce dernier ne contient pas. Il est important de préciser que les dépôts officiels d’Arch Linux ne sont pas affectés.
Le 11 juin 2026, l’alerte a été donnée sur la liste de diffusion « aur-general » d’Arch Linux, où un fil de discussion dédié a été ouvert pour centraliser le suivi des paquets compromis. Des modifications suspectes ont été repérées dans des paquets, avec l’ajout de commandes npm sans rapport avec le logiciel d’origine, permettant l’installation de paquets malveillants tels que atomic-lockfile.
Environ 408 paquets ont été identifiés comme infectés, avec l’ajout de la commande npm install atomic-lockfile something something dans leur script de construction PKGBUILD. Le paquet AUR alvr est un exemple, ayant introduit un comportement lié à npm sans justification.
Les modifications ont été effectuées par un nouveau mainteneur usurpant l’identité d’un éditeur réputé pour pousser des paquets infectés.
Atomic-lockfile : un voleur de données doublé d’un rootkit eBPF
Le chercheur indépendant Whanos a analysé un échantillon d’atomic-lockfile et a trouvé une charge utile au format ELF nommée deps. Ce malware, à double facette, fonctionne comme un voleur d’identifiants (infostealer) et inclut des capacités de rootkit reposant sur la technologie eBPF, activable uniquement avec des droits root, permettant d’agir discrètement sur les machines infectées.
Le profil des cibles confirme les intentions des attaquants. Selon Whanos : « Il est conçu pour les postes de travail des développeurs et les environnements de build. Il cible les données des navigateurs et des applications Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, le matériel VPN, les historiques de shell et d’autres secrets locaux de développeurs. »
Quelles précautions prendre ?
Les mainteneurs de l’AUR travaillent à identifier et supprimer les commits malveillants, ainsi qu’à bannir les comptes responsables. Il est recommandé aux utilisateurs d’Arch Linux de faire preuve de prudence et de consulter la liste des paquets vulnérables disponible sur la liste de diffusion AUR. Un script disponible sur GitHub permet également de détecter la présence du malware atomic-lockfile sur le système.
L’AUR repose sur des contributions d’utilisateurs, ce qui facilite la publication de paquets malveillants. Ce n’est pas la première fois que l’AUR est ciblé, des incidents précédents ayant également eu lieu, mais celui-ci est particulièrement significatif.
Source : liste de diffusion « aur-general » d’Arch Linux.
