La sicurezza della supply chain software torna sotto i riflettori del mondo Linux dopo uno degli incidenti più estesi mai registrati nell’ecosistema Arch.
I manutentori del progetto hanno confermato che una vasta campagna malevola ha compromesso centinaia di pacchetti presenti nell’Arch User Repository, meglio noto come AUR.
Le prime stime parlavano di oltre 400 pacchetti coinvolti, ma le verifiche successive hanno progressivamente ampliato il numero dei componenti sospetti. L’episodio non ha interessato i repository ufficiali di Arch Linux, ma colpisce una delle piattaforme più utilizzate dagli utenti avanzati per installare software non disponibile nei canali ufficiali.
Come è avvenuto l’attacco all’AUR
L’Arch User Repository è un archivio comunitario che raccoglie migliaia di pacchetti mantenuti dagli utenti. A differenza dei repository ufficiali, dove il software viene verificato e firmato dai manutentori, l’AUR distribuisce principalmente file PKGBUILD: script che scaricano, compilano e installano applicazioni da fonti esterne. Questo modello offre enorme flessibilità, ma introduce un livello di fiducia aggiuntivo verso chi mantiene il pacchetto. Proprio questa caratteristica è stata sfruttata dagli attaccanti.
