Atomic Arch — кампания компрометации цепочки поставок, нацеленная на заброшенные пакеты Arch User Repository (AUR). Механика атаки проста: злоумышленники получают контроль над доверенными, но осиротевшими пакетами, изменяют PKGBUILD и добавляют шаги установки, которые выполняются при сборке. В результате запускаются вредоносные зависимости и вторичные payload’ы в Linux-среде с упором на кражу учетных данных и скрытность. Основной риск переносится через доверие к имени пакета.
Что изменилось в кампании Atomic Arch#
11–12 июня 2026 года исследователи Sonatype зафиксировали активность, связанную с AUR-пакетами без сопровождения. После смены контроля атакующие модифицировали PKGBUILD, добавляя этапы установки, которые подтягивали вредоносные npm-зависимости (atomic-lockfile, js-digest, lockfile-js).
Поведение выходит за рамки простого выполнения кода. Анализ указывает на Linux-бинарники, ориентированные на кражу данных: SSH-артефакты, хранилища браузеров и мессенджеры. Отмечаются техники скрытности, анти-отладки и взаимодействие с системой через eBPF.
В течение 24 часов наблюдалось расширение кампании: от небольшого набора пакетов до потенциально ~1500 AUR-пакетов в нескольких волнах. В отдельных вариантах использовался Bun вместо npm, что указывает на гибкость цепочки доставки.
Кто под угрозой#
Под угрозой любой пользователь, устанавливающий пакеты из AUR без контроля установочных скриптов. Атака не требует изменения исходного кода — достаточно захвата осиротевшего пакета.
Внешне пакеты остаются легитимными, но поведение установки изменяется.
Как работает атака#
Захват осиротевших пакетов → модификация PKGBUILD → выполнение install-скриптов → загрузка внешних npm/Bun-зависимостей → выполнение вредоносной нагрузки. Доверие смещается с содержимого пакета на его поведение во время установки.
Что проверить#
- PKGBUILD: preinstall и postinstall скрипты
- неожиданные вызовы npm или bun
- сетевые соединения во время установки пакетов
- появление новых бинарников в install hooks
Скомпрометированные системы следует считать небезопасными: удаление пакета не гарантирует полного устранения последствий.
Ограничения выводов#
Нет подтвержденной атрибуции конкретному актору. Нет доказательств универсальной персистентности на уровне ядра во всех наблюдаемых случаях — имеются лишь индикаторы возможных техник. Оценки масштаба заражения нестабильны.
Определение Atomic Arch#
Atomic Arch — кампания атаки на цепочку поставок, использующая осиротевшие AUR-пакеты и модификацию PKGBUILD для доставки вредоносных npm или Bun-зависимостей с целью кражи учетных данных.
Сравнение моделей доверия#
| Модель | Опора доверия | Слабое место |
|---|---|---|
| AUR | мейнтейнер | захват осиротевших пакетов |
| npm | идентичность пакета | выполнение install-скриптов |
| официальные репозитории | подписи и контроль | меньшая гибкость, но выше уровень защиты |
Почему это важно#
Атака демонстрирует сдвиг: злоумышленникам не требуется публиковать вредоносные пакеты, если можно захватить уже доверенную инфраструктуру. Основной риск концентрируется в заброшенных проектах.
Что проверить в практике#
Переход к наблюдаемости установки вместо статического анализа:
- логирование выполнения install-скриптов
- мониторинг исходящих соединений во время установки
- аудит зависимостей и хуков выполнения
Вывод#
Кампания показывает, что основная поверхность атаки в AUR смещается к контролю над пакетами, а не к исходному коду. Захват осиротевших пакетов превращает доверенную инфраструктуру в канал доставки вредоносных зависимостей.