Das Arch User Repository (AUR) sieht sich einer umfangreichen Angriffswelle ausgesetzt. Die Angreifer haben Hunderte verwaiste Paketdefinitionen übernommen, um Malware ergänzt und in neuen Versionen veröffentlicht. Die Arch-Maintainer steuern mit einem Meldeaufruf und einer groß angelegten Lösch-Aktion gegen, um bösartige Updates zu entfernen und von den Angreifern genutzte Accounts zu sperren.
Das AUR von Arch Linux enthält keine Pakete im engeren Sinne, sondern Beschreibungen, sogenannte PKGBUILDs, mit denen Nutzer die Pakete selbst bauen können. Wenn eine Beschreibung offenbar nicht mehr gewartet wird, können Nutzer dies melden und sie wird nach einer Weile als verwaist markiert. Dann können beliebige Nutzer die Paketbeschreibung „adoptieren“ und ihre Wartung übernehmen.
Diesen Mechanismus nutzten die Angreifer aus: Sie übernahmen solche verwaisten Beschreibungen, ergänzten sie um eine Abhängigkeit für den JavaScript-Paketmanager npm und fügten einen Schritt nach der eigentlichen Software-Installation hinzu, der das npm-Paket „atomic-lockfile“ auf das System brachte. Atomic-Lockfile enthielt wiederum einen Prä-Installationsschritt, den npm befolgte und dabei die im npm-Paket mitgelieferte Datei „deps“ ausführte. Bei deps handelt es sich einer ersten (KI-gestützten) Analyse zufolge um einen Credential-Stealer, eine Malware, die diverse Arten von Zugangsdaten ausliest und an den Angreifer ausleitet. „deps“ kann sich außerdem im System festsetzen, bei ausreichenden Rechten die eigene Präsenz verschleiern und weitere Software nachladen.
