Atomic Arch: захват осиротевших AUR-пакетов как вектор атаки

Кампания Atomic Arch использует перехват заброшенных AUR-пакетов и модификацию PKGBUILD для внедрения npm/Bun-зависимостей и кражи данных в Linux-средах

2026-06-13 GIGATAP Team #tools
#supply_chain#linux_security#aur

Atomic Arch — кампания компрометации цепочки поставок, нацеленная на заброшенные пакеты Arch User Repository (AUR). Механика атаки проста: злоумышленники получают контроль над доверенными, но осиротевшими пакетами, изменяют PKGBUILD и добавляют шаги установки, которые выполняются при сборке. В результате запускаются вредоносные зависимости и вторичные payload’ы в Linux-среде с упором на кражу учетных данных и скрытность. Основной риск переносится через доверие к имени пакета.

Что изменилось в кампании Atomic Arch#

11–12 июня 2026 года исследователи Sonatype зафиксировали активность, связанную с AUR-пакетами без сопровождения. После смены контроля атакующие модифицировали PKGBUILD, добавляя этапы установки, которые подтягивали вредоносные npm-зависимости (atomic-lockfile, js-digest, lockfile-js).

Поведение выходит за рамки простого выполнения кода. Анализ указывает на Linux-бинарники, ориентированные на кражу данных: SSH-артефакты, хранилища браузеров и мессенджеры. Отмечаются техники скрытности, анти-отладки и взаимодействие с системой через eBPF.

В течение 24 часов наблюдалось расширение кампании: от небольшого набора пакетов до потенциально ~1500 AUR-пакетов в нескольких волнах. В отдельных вариантах использовался Bun вместо npm, что указывает на гибкость цепочки доставки.

Кто под угрозой#

Под угрозой любой пользователь, устанавливающий пакеты из AUR без контроля установочных скриптов. Атака не требует изменения исходного кода — достаточно захвата осиротевшего пакета.

Внешне пакеты остаются легитимными, но поведение установки изменяется.

Как работает атака#

Захват осиротевших пакетов → модификация PKGBUILD → выполнение install-скриптов → загрузка внешних npm/Bun-зависимостей → выполнение вредоносной нагрузки. Доверие смещается с содержимого пакета на его поведение во время установки.

Что проверить#

  • PKGBUILD: preinstall и postinstall скрипты
  • неожиданные вызовы npm или bun
  • сетевые соединения во время установки пакетов
  • появление новых бинарников в install hooks

Скомпрометированные системы следует считать небезопасными: удаление пакета не гарантирует полного устранения последствий.

Ограничения выводов#

Нет подтвержденной атрибуции конкретному актору. Нет доказательств универсальной персистентности на уровне ядра во всех наблюдаемых случаях — имеются лишь индикаторы возможных техник. Оценки масштаба заражения нестабильны.

Определение Atomic Arch#

Atomic Arch — кампания атаки на цепочку поставок, использующая осиротевшие AUR-пакеты и модификацию PKGBUILD для доставки вредоносных npm или Bun-зависимостей с целью кражи учетных данных.

Сравнение моделей доверия#

Модель Опора доверия Слабое место
AUR мейнтейнер захват осиротевших пакетов
npm идентичность пакета выполнение install-скриптов
официальные репозитории подписи и контроль меньшая гибкость, но выше уровень защиты

Почему это важно#

Атака демонстрирует сдвиг: злоумышленникам не требуется публиковать вредоносные пакеты, если можно захватить уже доверенную инфраструктуру. Основной риск концентрируется в заброшенных проектах.

Что проверить в практике#

Переход к наблюдаемости установки вместо статического анализа:

  • логирование выполнения install-скриптов
  • мониторинг исходящих соединений во время установки
  • аудит зависимостей и хуков выполнения

Вывод#

Кампания показывает, что основная поверхность атаки в AUR смещается к контролю над пакетами, а не к исходному коду. Захват осиротевших пакетов превращает доверенную инфраструктуру в канал доставки вредоносных зависимостей.