Arch Linux: oltre 1.900 pacchetti AUR infettati da malware in pochi giorni

L'Arch User Repository (AUR) ha subito un attacco su larga scala nelle ultime ore: attori malevoli hanno iniettato codice dannoso negli script di installazione di centinaia di pacchetti, con il numero di pacchetti compromessi che ha raggiunto quota oltre 1.900 nel giro di pochi giorni. Il team di Arch Linux ha avviato le operazioni di contenimento, rimuovendo i pacchetti coinvolti e sospendendo la registrazione di nuovi account sulla piattaforma.

Per chi non conosce la struttura del sistema, l'AUR non fa parte dei repository ufficiali di Arch Linux. Si tratta di una raccolta di script di build (i cosiddetti PKGBUILD) mantenuti dalla community, che permettono di compilare e installare software non disponibile nei canali ufficiali. Il gestore pacchetti nativo pacman non accede all'AUR in modo diretto: per farlo occorre compilare manualmente il software o affidarsi a un helper AUR dedicato. Gli utenti che si limitano ai repository ufficiali non sono quindi esposti.

Come funziona l'attacco e chi � a rischio

Il vettore scelto dagli attaccanti � npm: gli script di installazione malevoli includevano npm come dipendenza e aggiungevano alla procedura di build un pacchetto npm compromesso. Il codice dannoso partiva in automatico durante l'esecuzione di npm install, senza che l'utente si accorgesse di nulla.