Jetzt ist es passiert, es gab einen Lieferkettenangriff auf Arch Linux AUR Pakete. Mehr als 400 dieser Arch User Repository (AUR) Pakete wurden kompromittiert und enthalten einen Infostealer.
Die als "Atomic Arch" bezeichnete Kampagne wurde um den 11. Juni 2026 herum entdeckt und stellt einen der bislang umfangreichsten AUR-Vorfälle dar.
Mehr als 400 Pakete aus dem Arch Linux User Repository wurden mit Infostealer-Malware und einem Rootkit kompromittiert. Der Angreifer gab sich laut Sicherheitsforschern von Sonatype als vertrauenswürdiger Betreuer aus und "adoptierte" verwaisten Pakete. Cyber Security News hat in diesem Beitrag einige Informationen zusammen getragen. Details lassen sich in diesem Beitrag nachlesen.
Hinweise eines Lesers
Ergänzung: Patrick hat mich per Mail kontaktiert, weil er sich bei der
Einrichtung eines Linux-Systems mit Arch Linux auch mit dem AUR
beschäftigt habe. Grund dafür waren Funktionen, die z. B. für die
Personalausweis-Lesegeräte erforderlich sind. Ohne Nutzung lassen sich
in Deutschland behördliche Angebote gar nicht nutzen. Für den Bereich der AUR gibt es im Arch-Wiki eine grundsätzliche Warnung:
AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.
Ein Lieferkettenangriff dürfte eben in solchen Bereichen erheblich
einfacher sein. Allerdings werden die Entwickler im offiziellen
Repository sicher nach diesem Vorfall (hoffentlich) auch vorsichtiger
sein.
Meldung auf Arch Linux Homepage
Auf der Homepage von Arch Linux ist die Meldung mit Datum vom 12. Juni
auch veröffentlicht worden:
Active AUR malicious packages incident
2026-06-12 – Campbell Jones
We are currently experiencing a high volume of malicious package adoptions and updates in the Arch User Repository.
We are actively working to track down existing malicious commits and attempting to prevent additional malicious commits from being pushed.While this is happening, and while we work to create a more permanent solution, users may see issues with the following:
– Creating new accounts on the AUR
– Pushing package updates
– Adopting or creating new packagesWe continue to encourage all users of AUR packages to review all PKGBUILD and install script changes when updating, especially during this time. If you notice suspicious commits to a package that you use, please reach out to Arch staff via the aur-general mailing list with more information.
Patrick schrieb: "Für die von mir administrierten Systeme bleibt es grundsätzlich bei der
Einstellung, dass ich die installierte Software auf die offiziellen Repositories der Linux-Distribution beschränke."




MVP: 2013 – 2016





soviel zu "Linux ist sicher und man braucht da keinen Antivirus"
das ist nicht das offizielle Repo….
Ganz toll getönt.
<°<<<
@jan /@Lantanplan stand da nirgendwo und ist auch egal! lieber einmal mehr geprüft als Scheisse im System… aber jeder wie er will! wäre kein Beinbruch die Pakete durch sowas wie Virus total zu jagen wie es Google macht. Aber lieber am Mythos festhalten! Sonst wird die Community verunsichert
Kein ernstzunehmender Mensch hat jemals so etwas behauptet. Es ist offensichtlich, dass *kein* System immun dagegen sein kann, dass ein berechtigter Nutzer freiwillig Software installiert, die Schadcode enthält.
Virenscanner nutzen erst dann etwas, wenn ein Virus bekannt ist. Im beschriebenen Fall also: ab ungefähr jetzt. Und wie Du selbst schreibst, hindert Dich ja niemand daran, jede Software, die Du installierst, zuvor zu scannen. Mache ich z.B. mit jedem .apk, bevor es auf meinem (Google-freien) Android-Tablet landet.
Aber man muss schon dazu sagen, dass das Arch User Repository (AUR) nicht die offizielle Paketquelle von Arch Linux ist
das wissen leider nur die wenigsten!
Der Umgang damit, die User informieren , da geht bei mir ein Blick nach Windows … ;-)
Bei Linux kann man zum Glück wählen, ob man konservativ oder "progressiv" an die Sache geht. Ich bin konservativ, keine Distros mit "rolling release" und keine inoffiziellen oder experimentellen Paketquellen. Und lieber auf old-stable bleiben, als sofort die neueste Version zu installieren.
So sehe ich das auch den Hauptrechner mit Debian Bookworm nutzen und nebenbei zum Test Trixie nutzen. Umstellen kann man immer noch. Und jeweils nur die offiziellen Paketquellen nutzen.
Kennt man das AUR, ist man höchstens verwundert, dass so etwas erst jetzt passierte bzw. fragt man sich, was da vielleicht noch alles schlummert. Natürlich soll man sich vor dem Installieren die PKGBuilds anschauen, aber wer macht das so genau und ausserdem könnte man darin auch so einiges verstecken. Leider ist das AUR oft die einzige Quelle der Arch-Distros, an seltenere Software oder Alternativen zu den meist wenigen Standards des offiziellen Repos zu kommen.
Sehr schön zusammengefasst. Ich würde noch ergänzen, dass man am besten die Hände gänzlich von verwaisten Projekten im AUR lassen sollte. Denn das sind genau jene, die man problemlos manipulieren kann, so wie es ja auch in der jetzigen AUR-Malwarekampagne getan wurde.
Danke, dass Sie darüber berichten. Und der Vergleich liegt nun vor, denn niemand schreit momentan "mit Windows wäre das nicht passiert". Es wird hiermit ganz klar belegt, dass es auch bei einem Opensource-Betriebssystem über offizielle Repositories, selbst wenn es "nur" "User Repos" bei Arch sind, Schadcode "ganz einfach" ist zu installieren, und zwar massenhaft. Viel einfacher als bei sowas zentrales wie seinerzeit "xzlib". Da mag sich jetzt mancheiner zurücklehnen und sagen, ja schön, ist ja nur Arch, ich nutze ja Ubuntu. Auch dort gibt es das "Community Repo", und viele aktivieren dieses, weil es nur dort eine ganze Reihe von Programmen gibt. Und sonderlich gut gepflegt und aktuell ist das auch nicht. Eigentlich nur eine Frage der Zeit, bis es auch dort mal knallt. Man muss denjenigen, die bei Windows-Themen immer wieder reingrätschen und ihre Betriebssystemwahl über den Klee loben und wie sicher das sei diese bittere Tatsache immer wieder unter die Nase reiben, bis sie es endlich begriffen haben. also, weiter so, bleiben Sie bei Sicherheitsvorfällen in Linux bitte am Ball! Bei BSD wurde übrigens gestern auch was nettes bekannt, ob davon auch das davon abgeleitete MacOS betroffen ist?
Mehr als 400 hat sich bei 1600 eingependelt. Hat heute CB berichtet [*], dort ist auch eine Liste verlinkt. Heile Welt ist bei Linux leider auch nicht. Wer von den kuratierten Distro-Wegen abweicht und sich auf Trampelpfade in den digitalen Dschungel begibt, sollten wissen, was er tut, wenn er nicht von einem Raubtier gefressen werden will.
* computerbase.de/news/betriebssysteme/arch-linux-unter-feuer-400-pakete-im-aur-kompromittiert.97880 [Update 13.06.2026 13:29 Uhr]
Hab es vernommen – aber es ist Samstag, und ob es 400 oder 1600 sind, macht den Bock auch nicht mehr fett – es reicht ein infiziertes Paket und man hat geloost.
Deshalb fahre ich zweigleisig. Fedora für Büro, Alltag, Hobby. Und CachyOS rein fürs Gaming. Durch CachyOS bin ich auch betroffen – oder vielmehr, hätte es sein können. Ich nutze das AUR nur sehr restriktiv, wenn es keine andere Alternative gibt und ich nicht darauf verzichten möchte. Wie zum Beispiel das Modul für die Lüftersteuerung von MSI-Mainboards. Gibts bisher eben nur von der Community als AUR-Paket. Unter Arch-basierten Systemen findet man leider viele Softwareprojekte nicht im offiziellen Repo sondern nur im AUR. Das ist der Trade-off, den man mit Arch-Distros eingehen muss. Wobei mittlerweile ja auch vieles als AppImage oder Flatpak verfügbar ist.
Man sollte halt nicht blind jedes Paket aus dem AUR installieren, und bestenfalls komplett die Hände von verwaisten Projekten lassen (genau über solche lief ja auch diese Malwarekampagne ab, da verwaiste Pakete prinzipiell einfach so von jedem der Lust hat, übernommen werden kann, ohne überprüft zu werden o.ä.).
Wer sich zusätzlich vor einem Update eines AUR Pakets dann noch immer das jeweilge PKGBUILD auf verdächtige Änderungen anschaut, ist ziemlich safe. Zugegeben, diesen Punkt kann man jetzt nicht wirklich von einfachen Endanwendern mit wenig Linux-Erfahrung und keinerlei Programmier-Kenntnissen ewarten. Aber das AUR war schon immer ein "gefährliches Pflaster", nicht umsonst wird in den öffentlichen Arch-Dokus eindringlich davor gewarnt.
Ehrlich gesagt muss ich darüber schmunzeln, wie jetzt überall im Netz die Leute aus den Gebüschen geschossen kommen ala "Ha, siehste, von wegen Linux ist sicher!!!" Natürlich ist auch Linux nicht immun. Auch Linux hat Schwachstellen und wird aktiv angegriffen, besonders auf Servern, in Cloud-Umgebungen und bei Containern. Denn 90% des Internets läuft auf Linux-Servern. Aber Windows ist weiterhin ein besonders attraktives Ziel für Massen-Malware, Ransomware, Office-basierte Angriffe und Active-Directory-Kompromittierung. Gibt auch immer wieder Sicherheitsberichte die zeigen, dass Angreifer Windows-Unternehmensnetze sehr schnell übernehmen können und dass Microsoft-Produkte regelmäßig in aktiven Kampagnen ausgenutzt werden. Von solchen Zuständen ist Linux aktuell zumindest noch Welten entfernt. Das könnte sich freilich in Zukunft ein wenig ändern, wenn immer mehr Endanwender und Unternehmen von MS zu Linux wechseln. Wobei hier Linux grundsätzlich eben mit strukturellen Vorteilen punktet, wie einer offenen Entwicklung, schnelle öffentliche Fixes, zentrale Paketverwaltung, klare Rechteverwaltung und oft kleinere Angriffsflächen bei minimalen Installationen.
Naja, das Arch USER Repo. Da kann sich mehr oder weniger jeder registrieren und Dinge hochladen (Bauanleitungen für Pakete).
Das wiederum hat aber rein gar nichts mit "Linux" an sich zu tun. Wenn man Arch nutzt, dann wird auf dem Arch-Wiki explizit darauf hingewiesen, dass man AUR mit Vorsicht verwenden soll und die sogenannten PKG-Builds (also die Bauanleitungen) vor dem eigentlichen "einspielen" checken soll.
Die Sache ist die, dass Arch durch CachyOS, Manjaro usw. gepusht wird und diese Distributionen oft grafische Installer anbieten, die auch AUR mit "Klick Klick" installieren lassen. Ein neuer Anwender hat da natürlich keinen Plan (und denkt sich nix dabei) wenn er AUR installiert.
Deshalb AUR & Anfänger ist finger weg! Ich verwende das AUR so gut wie gar nicht und schaue, dass ich mit den Paketen aus den Standard-Repos auskomme – sofern ich Arch verwende.
AUR = als Fremdpaket einzustufen.
Regel: Möglichst bei den originalen Standarrepos bleiben und Drittrepos so gut wie möglich vermeiden und AUR Nutzung generell minimieren, nur namhafte Maintainer (nutzen)