400+ Arch Linux AUR Pakete in Lieferkettenangriff kompromittiert

Jetzt ist es passiert, es gab einen Lieferkettenangriff auf Arch Linux AUR Pakete. Mehr als 400 dieser Arch User Repository (AUR) Pakete wurden kompromittiert und enthalten einen Infostealer.

Die als  "Atomic Arch"  bezeichnete Kampagne wurde um den 11. Juni 2026 herum entdeckt und stellt einen der bislang umfangreichsten AUR-Vorfälle dar.

ARCH AUR compromised

Mehr als 400 Pakete aus dem Arch Linux User Repository wurden mit Infostealer-Malware und einem Rootkit kompromittiert. Der Angreifer gab sich laut Sicherheitsforschern von Sonatype als vertrauenswürdiger Betreuer aus und "adoptierte" verwaisten Pakete. Cyber Security News hat in diesem Beitrag einige Informationen zusammen getragen. Details lassen sich in diesem Beitrag nachlesen.

Hinweise eines Lesers

Ergänzung: Patrick hat mich per Mail kontaktiert, weil er sich bei der
Einrichtung eines Linux-Systems mit Arch Linux auch mit dem AUR
beschäftigt habe. Grund dafür waren Funktionen, die z. B. für die
Personalausweis-Lesegeräte erforderlich sind. Ohne Nutzung lassen sich
in Deutschland behördliche Angebote gar nicht nutzen. Für den Bereich der AUR gibt es im Arch-Wiki eine grundsätzliche Warnung:

AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.

Ein Lieferkettenangriff dürfte eben in solchen Bereichen erheblich
einfacher sein. Allerdings werden die Entwickler im offiziellen
Repository sicher nach diesem Vorfall (hoffentlich) auch vorsichtiger
sein.

Meldung auf Arch Linux Homepage

Auf der Homepage von Arch Linux ist die Meldung mit Datum vom 12. Juni
auch veröffentlicht worden:

Active AUR malicious packages incident
2026-06-12 – Campbell Jones
We are currently experiencing a high volume of malicious package adoptions and updates in the Arch User Repository.
We are actively working to track down existing malicious commits and attempting to prevent additional malicious commits from being pushed.

While this is happening, and while we work to create a more permanent solution, users may see issues with the following:

– Creating new accounts on the AUR
– Pushing package updates
– Adopting or creating new packages

We continue to encourage all users of AUR packages to review all PKGBUILD and install script changes when updating, especially during this time. If you notice suspicious commits to a package that you use, please reach out to Arch staff via the aur-general mailing list with more information.

Patrick schrieb: "Für die von mir administrierten Systeme bleibt es grundsätzlich bei der
Einstellung, dass ich die installierte Software auf die offiziellen Repositories der Linux-Distribution beschränke."

 

Dieser Beitrag wurde unter Linux, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

16 Kommentare zu 400+ Arch Linux AUR Pakete in Lieferkettenangriff kompromittiert

  1. Daniel Blum sagt:

    soviel zu "Linux ist sicher und man braucht da keinen Antivirus"

    • Jan sagt:

      das ist nicht das offizielle Repo….

    • Lantanplan sagt:

      Ganz toll getönt.

      <°<<<

    • Daniel Blum sagt:

      @jan /@Lantanplan stand da nirgendwo und ist auch egal! lieber einmal mehr geprüft als Scheisse im System… aber jeder wie er will! wäre kein Beinbruch die Pakete durch sowas wie Virus total zu jagen wie es Google macht. Aber lieber am Mythos festhalten! Sonst wird die Community verunsichert

    • Bernd Bachmann sagt:

      Kein ernstzunehmender Mensch hat jemals so etwas behauptet. Es ist offensichtlich, dass *kein* System immun dagegen sein kann, dass ein berechtigter Nutzer freiwillig Software installiert, die Schadcode enthält.

      Virenscanner nutzen erst dann etwas, wenn ein Virus bekannt ist. Im beschriebenen Fall also: ab ungefähr jetzt. Und wie Du selbst schreibst, hindert Dich ja niemand daran, jede Software, die Du installierst, zuvor zu scannen. Mache ich z.B. mit jedem .apk, bevor es auf meinem (Google-freien) Android-Tablet landet.

  2. Daniel sagt:

    Aber man muss schon dazu sagen, dass das Arch User Repository (AUR) nicht die offizielle Paketquelle von Arch Linux ist

  3. noway sagt:

    Bei Linux kann man zum Glück wählen, ob man konservativ oder "progressiv" an die Sache geht. Ich bin konservativ, keine Distros mit "rolling release" und keine inoffiziellen oder experimentellen Paketquellen. Und lieber auf old-stable bleiben, als sofort die neueste Version zu installieren.

    • Daniel sagt:

      So sehe ich das auch den Hauptrechner mit Debian Bookworm nutzen und nebenbei zum Test Trixie nutzen. Umstellen kann man immer noch. Und jeweils nur die offiziellen Paketquellen nutzen.

  4. Tim B. sagt:

    Kennt man das AUR, ist man höchstens verwundert, dass so etwas erst jetzt passierte bzw. fragt man sich, was da vielleicht noch alles schlummert. Natürlich soll man sich vor dem Installieren die PKGBuilds anschauen, aber wer macht das so genau und ausserdem könnte man darin auch so einiges verstecken. Leider ist das AUR oft die einzige Quelle der Arch-Distros, an seltenere Software oder Alternativen zu den meist wenigen Standards des offiziellen Repos zu kommen.

    • MrNicerDicer sagt:

      Sehr schön zusammengefasst. Ich würde noch ergänzen, dass man am besten die Hände gänzlich von verwaisten Projekten im AUR lassen sollte. Denn das sind genau jene, die man problemlos manipulieren kann, so wie es ja auch in der jetzigen AUR-Malwarekampagne getan wurde.

  5. Froschkönig sagt:

    Danke, dass Sie darüber berichten. Und der Vergleich liegt nun vor, denn niemand schreit momentan "mit Windows wäre das nicht passiert". Es wird hiermit ganz klar belegt, dass es auch bei einem Opensource-Betriebssystem über offizielle Repositories, selbst wenn es "nur" "User Repos" bei Arch sind, Schadcode "ganz einfach" ist zu installieren, und zwar massenhaft. Viel einfacher als bei sowas zentrales wie seinerzeit "xzlib". Da mag sich jetzt mancheiner zurücklehnen und sagen, ja schön, ist ja nur Arch, ich nutze ja Ubuntu. Auch dort gibt es das "Community Repo", und viele aktivieren dieses, weil es nur dort eine ganze Reihe von Programmen gibt. Und sonderlich gut gepflegt und aktuell ist das auch nicht. Eigentlich nur eine Frage der Zeit, bis es auch dort mal knallt. Man muss denjenigen, die bei Windows-Themen immer wieder reingrätschen und ihre Betriebssystemwahl über den Klee loben und wie sicher das sei diese bittere Tatsache immer wieder unter die Nase reiben, bis sie es endlich begriffen haben. also, weiter so, bleiben Sie bei Sicherheitsvorfällen in Linux bitte am Ball! Bei BSD wurde übrigens gestern auch was nettes bekannt, ob davon auch das davon abgeleitete MacOS betroffen ist?

  6. Ralf Lindemann sagt:

    Mehr als 400 hat sich bei 1600 eingependelt. Hat heute CB berichtet [*], dort ist auch eine Liste verlinkt. Heile Welt ist bei Linux leider auch nicht. Wer von den kuratierten Distro-Wegen abweicht und sich auf Trampelpfade in den digitalen Dschungel begibt, sollten wissen, was er tut, wenn er nicht von einem Raubtier gefressen werden will.

    * computerbase.de/news/betriebssysteme/arch-linux-unter-feuer-400-pakete-im-aur-kompromittiert.97880 [Update 13.06.2026 13:29 Uhr]

  7. MrNicerDicer sagt:

    Deshalb fahre ich zweigleisig. Fedora für Büro, Alltag, Hobby. Und CachyOS rein fürs Gaming. Durch CachyOS bin ich auch betroffen – oder vielmehr, hätte es sein können. Ich nutze das AUR nur sehr restriktiv, wenn es keine andere Alternative gibt und ich nicht darauf verzichten möchte. Wie zum Beispiel das Modul für die Lüftersteuerung von MSI-Mainboards. Gibts bisher eben nur von der Community als AUR-Paket. Unter Arch-basierten Systemen findet man leider viele Softwareprojekte nicht im offiziellen Repo sondern nur im AUR. Das ist der Trade-off, den man mit Arch-Distros eingehen muss. Wobei mittlerweile ja auch vieles als AppImage oder Flatpak verfügbar ist.

    Man sollte halt nicht blind jedes Paket aus dem AUR installieren, und bestenfalls komplett die Hände von verwaisten Projekten lassen (genau über solche lief ja auch diese Malwarekampagne ab, da verwaiste Pakete prinzipiell einfach so von jedem der Lust hat, übernommen werden kann, ohne überprüft zu werden o.ä.).
    Wer sich zusätzlich vor einem Update eines AUR Pakets dann noch immer das jeweilge PKGBUILD auf verdächtige Änderungen anschaut, ist ziemlich safe. Zugegeben, diesen Punkt kann man jetzt nicht wirklich von einfachen Endanwendern mit wenig Linux-Erfahrung und keinerlei Programmier-Kenntnissen ewarten. Aber das AUR war schon immer ein "gefährliches Pflaster", nicht umsonst wird in den öffentlichen Arch-Dokus eindringlich davor gewarnt.

    Ehrlich gesagt muss ich darüber schmunzeln, wie jetzt überall im Netz die Leute aus den Gebüschen geschossen kommen ala "Ha, siehste, von wegen Linux ist sicher!!!" Natürlich ist auch Linux nicht immun. Auch Linux hat Schwachstellen und wird aktiv angegriffen, besonders auf Servern, in Cloud-Umgebungen und bei Containern. Denn 90% des Internets läuft auf Linux-Servern. Aber Windows ist weiterhin ein besonders attraktives Ziel für Massen-Malware, Ransomware, Office-basierte Angriffe und Active-Directory-Kompromittierung. Gibt auch immer wieder Sicherheitsberichte die zeigen, dass Angreifer Windows-Unternehmensnetze sehr schnell übernehmen können und dass Microsoft-Produkte regelmäßig in aktiven Kampagnen ausgenutzt werden. Von solchen Zuständen ist Linux aktuell zumindest noch Welten entfernt. Das könnte sich freilich in Zukunft ein wenig ändern, wenn immer mehr Endanwender und Unternehmen von MS zu Linux wechseln. Wobei hier Linux grundsätzlich eben mit strukturellen Vorteilen punktet, wie einer offenen Entwicklung, schnelle öffentliche Fixes, zentrale Paketverwaltung, klare Rechteverwaltung und oft kleinere Angriffsflächen bei minimalen Installationen.

  8. Daniel sagt:

    Naja, das Arch USER Repo. Da kann sich mehr oder weniger jeder registrieren und Dinge hochladen (Bauanleitungen für Pakete).

    Das wiederum hat aber rein gar nichts mit "Linux" an sich zu tun. Wenn man Arch nutzt, dann wird auf dem Arch-Wiki explizit darauf hingewiesen, dass man AUR mit Vorsicht verwenden soll und die sogenannten PKG-Builds (also die Bauanleitungen) vor dem eigentlichen "einspielen" checken soll.

    Die Sache ist die, dass Arch durch CachyOS, Manjaro usw. gepusht wird und diese Distributionen oft grafische Installer anbieten, die auch AUR mit "Klick Klick" installieren lassen. Ein neuer Anwender hat da natürlich keinen Plan (und denkt sich nix dabei) wenn er AUR installiert.

    Deshalb AUR & Anfänger ist finger weg! Ich verwende das AUR so gut wie gar nicht und schaue, dass ich mit den Paketen aus den Standard-Repos auskomme – sofern ich Arch verwende.

    AUR = als Fremdpaket einzustufen.

    Regel: Möglichst bei den originalen Standarrepos bleiben und Drittrepos so gut wie möglich vermeiden und AUR Nutzung generell minimieren, nur namhafte Maintainer (nutzen)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.