Arch Linux: 1.900 verwaiste Pakete mit Rootkit kompromittiert
15.06.2026 - 13:07:35 | boerse-global.de
Zwei massive Lieferkettenangriffe haben innerhalb weniger Tage die WordPress-Welt und das Arch-Linux-Ökosystem erschüttert. Betroffen sind Millionen von Websites und tausende Softwarepakete.
Angriff auf Awesome Motive: Über eine Million WordPress-Seiten betroffen
Sicherheitsforscher von Sansec deckten am 15. Juni 2026 auf, dass Angreifer das Content Delivery Network (CDN) von Awesome Motive kompromittiert haben. Der Dienstleister betreibt mehrere weit verbreitete WordPress-Plugins – allen voran OptinMonster mit über einer Million aktiven Installationen, aber auch TrustPulse und PushEngage.
Anzeige: Die Angreifer haben über 1.900 verwaiste AUR-Pakete mit Rootkit und Credential-Stealer infiltriert. Wer kürzlich solche Pakete installiert hat, muss sein System als kompromittiert betrachten. Dieser Leitfaden liefert eine Sofort-Checkliste, ein Tool zur Rootkit-Erkennung und einen Leitfaden für sichere AUR-Nutzung. Sicherheits-Leitfaden jetzt anfordern
Die Täter schleusten bösartigen JavaScript-Code in legitime Dateien ein, die über das CDN ausgeliefert wurden. Der Code zielte gezielt auf eingeloggte WordPress-Administratoren ab. Sobald der Code ausgeführt wurde, legte er ein neues Administratorkonto mit dem Benutzernamen "developer_api1" an und installierte ein verstecktes Backdoor-Plugin, um dauerhaften Zugriff zu sichern.
Erste Spuren des Angriffs entdeckten die Forscher bereits am 12. Juni 2026 um 22:17 Uhr UTC. Die Angreifer nutzten eine Command-and-Control(C2)-Domain namens tidio.cc, die bereits am 28. April registriert worden war. Die Vorgehensweise erinnert an den Polyfill-Lieferkettenangriff aus dem Jahr 2024 – ein alarmierendes Déjà-vu für die Sicherheitsbranche.
Über 1.900 Arch-Linux-Pakete gekapert
Parallel dazu traf es die Arch-Linux-Community mit voller Wucht. Am 15. Juni 2026 wurde bekannt, dass Angreifer mehr als 1.900 sogenannte "verwaiste" Pakete im Arch User Repository (AUR) übernommen haben – also Software, die keinen aktiven Betreuer mehr hatte.
Die erste Angriffswelle begann bereits am 11. Juni 2026. Die Täter manipulierten die Installationsroutinen (PKGBUILD-Dateien) der Pakete und fügten schädliche npm-Abhängigkeiten wie "atomic-lockfile" sowie Bun-Skripte hinzu. Diese Komponenten dienten dazu, einen Rust-basierten Credential-Stealer und in einigen Fällen sogar ein eBPF-basiertes Rootkit zu installieren.
Die Schadsoftware zielte darauf ab, Anmeldedaten aus Webbrowsern, Electron-basierten Anwendungen und verschiedenen Entwickler-Secrets zu stehlen. Eine zweite Angriffswelle enthielt noch ausgefeilteren, verschleierten Code. Die Maintainer von Arch Linux haben begonnen, die betroffenen Commits zu bereinigen. Nutzer, die kürzlich verwaiste Pakete installiert oder aktualisiert haben, sollten ihre Systeme als kompromittiert betrachten.
Die größeren Zusammenhänge: Eine Welle von Repository-Angriffen
Die aktuellen Vorfälle reihen sich in eine besorgniserregende Serie von Lieferkettenangriffen ein. Bereits Ende März 2026 war das populäre npm-Paket "axios" in den Versionen 1.14.1 und 0.30.4 Ziel eines Angriffs. Damals wurde eine schädliche Abhängigkeit namens "plain-crypto-js" genutzt, um einen Remote Access Trojaner (RAT) zu verbreiten, der Shell-Befehle ausführen und Daten stehlen konnte.
Was jetzt zu tun ist
Sicherheitsexperten empfehlen betroffenen Nutzern dringend mehrere Sofortmaßnahmen:
Passwörter und Schlüssel rotieren: Alle Passwörter, API-Keys und Secrets sollten umgehend geändert werden – besonders auf Systemen, die kompromittierte AUR-Pakete oder WordPress-Plugins nutzen.
Anzeige: Ein eBPF-basiertes Rootkit kann selbst nach einer Neuinstallation persistieren. Der Angriff auf Arch Linux zeigt: Verwaiste AUR-Pakete sind ein Einfallstor für Lieferkettenangriffe. Erfahren Sie in diesem Leitfaden, wie Sie Ihr System dauerhaft schützen und zukünftige Angriffe vermeiden. Rootkit-Schutz-Leitfaden jetzt sichern
Konten prüfen: WordPress-Administratoren sollten ihre Benutzerkonten auf unbekannte Einträge überprüfen – insbesondere auf das Konto "developer_api1". Auch unbekannte Plugins müssen sofort entfernt werden.
System-Neuinstallation: Für Nutzer, die von der Arch-Linux-Attacke betroffen sind, empfehlen Experten eine vollständige Neuinstallation des Systems. Nur so lässt sich sicherstellen, dass persistente Rootkits vollständig entfernt werden.
Während die Maintainer weiterhin daran arbeiten, die schädlichen Einträge zu beseitigen, zeigen diese Vorfälle eines deutlich: Die Verwundbarkeit von Community-verwalteten Repositories und externen CDNs bleibt eine der größten Sicherheitsherausforderungen unserer Zeit.
