Ces derniers jours, le dépôt communautaire AUR d’Arch Linux a été la cible d’une campagne de diffusion de logiciels malveillants : de nombreux paquets maintenus par des utilisateurs ont reçu des commits malveillants qui tentent d’ajouter le téléchargement d’un malware via npm lors de l’installation. Voici ce que l’on sait sur cet incident de sécurité.

Mauvaise nouvelle pour les utilisateurs d’Arch Linux : l’AUR (Arch User Repository) est touché par un incident de sécurité important, puisque plus de 400 paquets infectés par un rootkit et un infostealer ont été distribués aux utilisateurs. Pour rappel, l’AUR est un dépôt communautaire qui apporte un bon complément au dépôt officiel d’Arch Linux, notamment parce qu’il donne accès à des outils que ce dernier ne contient pas. L’occasion de préciser que les dépôts officiels d’Arch Linux ne sont pas affectés.

Le 11 juin 2026, l’alerte a été donnée sur la liste de diffusion “aur-general” d’Arch Linux, où un fil de discussion dédié a été ouvert pour centraliser le suivi des paquets compromis. En effet, des modifications suspectes ont été repérées dans des paquets, avec à la clé l’ajout de commandes sans aucun rapport avec le logiciel d’origine. Tout se jouerait lors de l’installation du paquet avec l’installation de paquets malveillants, comme .

Cette même page mentionne d’ailleurs environ 408 paquets infectés avec l’ajout de commande , dans leur script de construction PKGBUILD. Le paquet AUR est un bon exemple : une mise à jour suspecte a introduit un comportement lié à npm, alors que ce logiciel n’utilise habituellement pas cet outil.

L’auteur de ces modifications en masse ? Un nouveau mainteneur usurpant l’identité d’un éditeur réputé pour pousser ses paquets infectés.

Atomic-lockfile : un voleur de données doublé d’un rootkit eBPF

Le chercheur indépendant Whanos a analysé un échantillon d’atomic-lockfile et y a trouvé une charge utile au format ELF nommée deps. Il s’agit d’un malware avec deux facettes : un voleur d’identifiants (infostealer) associé à des capacités de rootkit reposant sur la technologie eBPF, activable uniquement avec les droits root. Surtout, cela lui permet d’agir plus discrètement sur la machine infectée.

Le profil des cibles ne laisse aucun doute sur les intentions des attaquants. D’après Whanos : “Il est conçu pour les postes de travail des développeurs et les environnements de build. Il cible les données des navigateurs et des applications Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, le matériel VPN, les historiques de shell et d’autres secrets locaux de développeurs.”

De ce fait, ce malware cible les données d’applications, les identifiants GitHub, les clés SSH ou encore les cookies de session des navigateurs. Du classique avec quelques éléments adaptés pour cibler les développeurs.

Quelles précautions prendre ?

Du côté de l’AUR, les mainteneurs s’attellent à identifier et à supprimer l’ensemble des commits malveillants, ainsi qu’à bannir les comptes à l’origine de ces dépôts. On peut imaginer que le nécessaire soit fait désormais, quelques jours après cette alerte.

Dans tous les cas, soyez prudent si vous utilisez Arch Linux et le dépôt AUR. La liste des paquets vulnérables est disponible dans la liste de diffusion AUR mentionnée précédemment. Vous avez aussi ce script disponible sur GitHub qui détecte la présence du malware atomic-lockfile sur le système en analysant la liste des paquets installés.

L’AUR repose sur des contributions d’utilisateurs, ce qui signifie qu’il est plus facile pour les attaquants de publier des paquets malveillants ou de tenter d’altérer des paquets existants. Ce n’est d’ailleurs pas la première fois que l’AUR est ciblé, je me souviens d’une campagne destinée à délivrer le malware Chaos RAT, mais elle était moins importante que celle-ci.