Atomic, Arch

Atomic Arch: Großangriff auf Linux-AUR mit Rootkit am 11. Juni

13.06.2026 - 19:46:52 | boerse-global.de

Hochentwickelter Rust-Datendieb und eBPF-Rootkit gefährden Entwicklersysteme nach Kompromittierung des Arch User Repository.

Atomic Arch: Hunderte Linux-Pakete durch Supply-Chain-Attacke gekapert
Atomic - Abstract network of glowing red lines on a dark background, symbolizing a digital threat or supply chain attack. 13.06.2026 - Bild: über boerse-global.de

Angreifer haben am 11. Juni 2026 das Arch User Repository (AUR) ins Visier genommen und Hunderte verwaiste Pakete gekapert. Die als „Atomic Arch“ bekannte Kampagne verbreitet einen hochentwickelten Rust-basierten Datendieb – und optional ein Rootkit, das selbst erfahrene Administratoren übersehen könnten.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Leitfaden zur Cyber Security jetzt kostenlos herunterladen

Wie die Angreifer vorgingen

Die Taktik ist perfide: Das AUR erlaubt es Entwicklern, verwaiste Pakete zu übernehmen – also Projekte, deren ursprüngliche Betreuer sie nicht mehr pflegen. Genau diese Lücke nutzten die Angreifer aus. Sie übernahmen die verlassenen Projekte und manipulierten die Build-Skripte, genauer gesagt die PKGBUILD- und .install-Dateien.

Sicherheitsforscher von Sonatype entdeckten, dass die modifizierten Skripte beim Bauprozess heimlich schädliche Abhängigkeiten installierten. In der ersten Angriffswelle war das ein npm-Paket namens atomic-lockfile. Eine zweite Welle nutzte ein Bun-basiertes Paket namens js-digest. Beide enthielten eine Linux-ELF-Binärdatei – den Rust-basierten Infostealer namens deps.

Besonders dreist: Die Angreifer fälschten Commit-Metadaten, sodass die bösartigen Änderungen von vertrauenswürdigen Herausgebern zu stammen schienen. Zu den bestätigt kompromittierten Paketen gehören alvr und premake-git.

Was der Datendieb stiehlt

Der Schaden könnte enorm sein. Der Infostealer zielt gezielt auf Entwickler-Systeme und sammelt:

  • Browser-Daten: Cookies und Sitzungen von Chromium-basierten Browsern
  • Messenger-Zugänge: Daten aus Slack, Discord, Microsoft Teams und Telegram
  • Hochwertige Secrets: SSH-Schlüssel, Shell-Historien, GitHub- und npm-Tokens sowie HashiCorp-Vault-Zugänge
  • Container-Zugänge: Anmeldedaten für Docker, Podman und diverse VPN-Dienste
  • Cloud-Zugänge: AWS-, Google-Cloud- und Azure-Anmeldeinformationen

Die gestohlenen Daten werden per HTTP an temp.sh geschickt. Zudem kommuniziert die Malware mit einem Command-and-Control-Server über einen Tor-Onion-Dienst.

Die unsichtbare Gefahr: eBPF-Rootkit

Läuft die Malware mit Root-Rechten, wird es richtig gefährlich. Dann installiert sie ein eBPF-basiertes Rootkit. Dieses nutzt BPF-Maps, um schädliche Prozesse vor Überwachungstools zu verstecken – eine Entdeckung wird massiv erschwert.

Sonatype bewertet die Bedrohung mit einem CVSS-Score von 8,7 (hoch kritisch) und führt sie unter der Kennung Sonatype-2026-003775.

Anzeige

Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Größere Zusammenhänge: Hades-Kampagne parallel aktiv

Die Atomic-Arch-Kampagne ist kein Einzelfall. Nur einen Tag später, am 12. Juni 2026, meldeten Forscher von Orca Security die Hades-Kampagne. Sie traf 26 PyPI-Pakete und nutzte Python-Startup-Hooks, um Cloud-Zugangsdaten zu stehlen. Auch hier kam die Bun-JavaScript-Laufzeitumgebung zum Einsatz – ein Trend zu sprachübergreifender Malware-Verteilung zeichnet sich ab.

Reaktion und Schutzmaßnahmen

Die Arch-Linux-Betreuer haben reagiert: Sie entfernen bösartige Commits und setzen betroffene Pakete auf den letzten bekannten sauberen Zustand zurück. Ein Community-Erkennungsskript ist auf GitHub verfügbar.

Sicherheitsexperten raten dringend:

  • Wer seit dem 11. Juni 2026 AUR-Pakete installiert oder aktualisiert hat, sollte seine Systeme sofort überprüfen
  • Alle Zugangsdaten und Tokens müssen rotiert werden
  • Wurden die Build-Skripte mit Root-Rechten ausgeführt, empfehlen Analysten eine komplette Neuinstallation von einem vertrauenswürdigen Medium – nur so lassen sich potenzielle eBPF-Rootkits oder persistente systemd-Dienste sicher entfernen

Die Community steht vor einer ihrer größten Sicherheitsherausforderungen. Denn eines ist klar: Supply-Chain-Angriffe dieser Qualität werden nicht die letzten bleiben.

de | wissenschaft | 69535444 |