B
今週中
Arch Linuxのユーザーリポジトリ(AUR)において、400以上のパッケージが劫持され、情報窃取ツールとeBPF rootkitが配布されるサプライチェー…
📌 一言でいうと
Arch Linuxのユーザーリポジトリ(AUR)において、400以上のパッケージが劫持され、情報窃取ツールとeBPF rootkitが配布されるサプライチェーン攻撃が確認されました。攻撃者はメンテナンスされていない「孤児プロジェクト」を標的にし、ビルドスクリプトを改ざんしてRust製のマルウェアを仕込んでいました。このマルウェアはブラウザのCookieやSSH鍵、クラウドサービスの認証情報を窃取し、root権限取得時にはeBPFを用いて自身のプロセスを隠蔽します。
🔍該当判定
- OSに「Arch Linux」を利用している
- 公式リポジトリ以外の「AUR (Arch User Repository)」からソフトをインストール・更新した
- 2026年6月11日以降に、AUR経由でパッケージの導入やアップデートを行った
- 開発環境としてArch Linuxを使用し、GitHubやnpmなどの認証トークンを管理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
6月11日以降にAURパッケージをインストールまたは更新したユーザーは、影響を受けるパッケージリストを確認し、不審なsystemdサービスの登録やファイルの変更がないか点検してください。また、漏洩の可能性がある認証情報(SSH鍵、APIトークン等)の更新を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Arch Linux AUR パッケージ侵害(Atomic Arch)への対応について
お疲れさまです。Arch Linuxのユーザーリポジトリ(AUR)における大規模なサプライチェーン攻撃に関する情報共有です。
■ 概要
「Atomic Arch」と命名されたこの攻撃では、400以上のAURパッケージが劫持され、Rust製の情報窃取ツールおよびeBPF rootkitが配布されています。攻撃者はメンテナンス放棄されたパッケージを乗っ取り、ビルドスクリプトを改ざんすることで、インストール時にマルウェアを動作させます。
■ 影響範囲
- Arch Linux AUR (Arch User Repository) の一部パッケージ
- 特に6月11日以降に更新・インストールした環境
■ 対応手順
1. 影響を受けるパッケージリスト(公開されている最新リスト)と自社環境の照合
2. /etc/systemd/system/ および ~/.config/systemd/user/ への不審なユニットファイルの有無を確認
3. root権限下で動作している不審なeBPFマップの確認
4. 侵害が疑われる場合、SSH鍵、GitHub/npm/Vaultトークン等の認証情報を即座にリセット
■ 参考情報
- Sonatype / Whanos 研究報告
対応優先度: 高
対応期限: 至急
お疲れさまです。Arch Linuxのユーザーリポジトリ(AUR)における大規模なサプライチェーン攻撃に関する情報共有です。
■ 概要
「Atomic Arch」と命名されたこの攻撃では、400以上のAURパッケージが劫持され、Rust製の情報窃取ツールおよびeBPF rootkitが配布されています。攻撃者はメンテナンス放棄されたパッケージを乗っ取り、ビルドスクリプトを改ざんすることで、インストール時にマルウェアを動作させます。
■ 影響範囲
- Arch Linux AUR (Arch User Repository) の一部パッケージ
- 特に6月11日以降に更新・インストールした環境
■ 対応手順
1. 影響を受けるパッケージリスト(公開されている最新リスト)と自社環境の照合
2. /etc/systemd/system/ および ~/.config/systemd/user/ への不審なユニットファイルの有無を確認
3. root権限下で動作している不審なeBPFマップの確認
4. 侵害が疑われる場合、SSH鍵、GitHub/npm/Vaultトークン等の認証情報を即座にリセット
■ 参考情報
- Sonatype / Whanos 研究報告
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Arch Linux AUR Package Compromise (Atomic Arch)
Dear IT/Security Team,
We are sharing information regarding a large-scale supply chain attack affecting the Arch User Repository (AUR).
■ Overview
An operation named "Atomic Arch" has compromised over 400 AUR packages. Attackers targeted orphaned projects and modified build scripts to deploy a Rust-based information stealer and an eBPF rootkit. The malware targets developer credentials, including browser cookies, SSH keys, and cloud tokens.
■ Scope
- Arch Linux AUR packages
- Systems that installed or updated AUR packages on or after June 11.
■ Action Plan
1. Cross-reference installed AUR packages with the known affected list.
2. Inspect /etc/systemd/system/ and ~/.config/systemd/user/ for unauthorized service units.
3. Check for suspicious eBPF maps used for process hiding if root access is suspected.
4. Rotate all potentially compromised secrets (SSH keys, API tokens for GitHub, npm, Vault, etc.).
■ Reference
- Reports by Sonatype and researcher Whanos
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a large-scale supply chain attack affecting the Arch User Repository (AUR).
■ Overview
An operation named "Atomic Arch" has compromised over 400 AUR packages. Attackers targeted orphaned projects and modified build scripts to deploy a Rust-based information stealer and an eBPF rootkit. The malware targets developer credentials, including browser cookies, SSH keys, and cloud tokens.
■ Scope
- Arch Linux AUR packages
- Systems that installed or updated AUR packages on or after June 11.
■ Action Plan
1. Cross-reference installed AUR packages with the known affected list.
2. Inspect /etc/systemd/system/ and ~/.config/systemd/user/ for unauthorized service units.
3. Check for suspicious eBPF maps used for process hiding if root access is suspected.
4. Rotate all potentially compromised secrets (SSH keys, API tokens for GitHub, npm, Vault, etc.).
■ Reference
- Reports by Sonatype and researcher Whanos
Priority: High
Deadline: Immediate