Arch Linux affronta una nuova ondata di malware sempre più sofisticata

La sicurezza della supply chain software torna sotto i riflettori del mondo Linux dopo uno degli incidenti più estesi mai registrati nell’ecosistema Arch.

I manutentori del progetto hanno confermato che una vasta campagna malevola ha compromesso centinaia di pacchetti presenti nell’Arch User Repository, meglio noto come AUR.

Le prime stime parlavano di oltre 400 pacchetti coinvolti, ma le verifiche successive hanno progressivamente ampliato il numero dei componenti sospetti. L’episodio non ha interessato i repository ufficiali di Arch Linux, ma colpisce una delle piattaforme più utilizzate dagli utenti avanzati per installare software non disponibile nei canali ufficiali.

Come è avvenuto l’attacco all’AUR

L’Arch User Repository è un archivio comunitario che raccoglie migliaia di pacchetti mantenuti dagli utenti. A differenza dei repository ufficiali, dove il software viene verificato e firmato dai manutentori, l’AUR distribuisce principalmente file PKGBUILD: script che scaricano, compilano e installano applicazioni da fonti esterne. Questo modello offre enorme flessibilità, ma introduce un livello di fiducia aggiuntivo verso chi mantiene il pacchetto. Proprio questa caratteristica è stata sfruttata dagli attaccanti.

Gli aggressori hanno preso il controllo di numerosi pacchetti abbandonati o privi di manutenzione attiva, modificando i file di build per introdurre codice malevolo eseguito durante l’installazione o l’aggiornamento del software. Le modifiche riguardavano sia i PKGBUILD sia alcuni script di installazione aggiuntivi. In diversi casi il codice scaricava componenti esterni tramite npm e avviava payload progettati per sottrarre credenziali, token di autenticazione e dati sensibili presenti sul sistema.

Le analisi indipendenti descrivono un malware sviluppato in Rust con funzionalità di raccolta credenziali particolarmente aggressive: cookie dei browser, chiavi SSH, token GitHub, credenziali Docker, account npm, sessioni Discord e Slack. In alcuni scenari il malware avrebbe tentato anche di installare un eBPF rootkit, una tecnica avanzata che sfrutta il framework Extended Berkeley Packet Filter del kernel Linux per nascondere processi malevoli, segnale di una sofisticazione superiore rispetto alle tradizionali campagne opportunistiche.

I manutentori hanno reagito rapidamente rimuovendo le modifiche dannose, bloccando gli account coinvolti e limitando temporaneamente alcune operazioni sulla piattaforma. Il progetto ha inoltre invitato tutti gli utenti AUR a verificare attentamente i PKGBUILD prima di procedere con aggiornamenti o installazioni.

Chi è davvero a rischio e cosa fare

Il rischio interessa esclusivamente chi ha installato o aggiornato pacchetti AUR compromessi durante il periodo dell’attività malevola: i repository ufficiali di Arch Linux non risultano coinvolti.

Le categorie più esposte sono sviluppatori, amministratori di sistema e utenti che impiegano helper come yay o paru per gestire grandi quantità di pacchetti comunitari. In questi ambienti il furto di chiavi SSH, token cloud e credenziali di repository può generare effetti ben più gravi rispetto alla compromissione di una semplice workstation personale.

L’episodio ha riacceso il dibattito sulla sicurezza dei repository aperti. La natura decentralizzata dell’AUR rende difficile applicare controlli preventivi approfonditi su ogni modifica pubblicata. Diversi membri della comunità chiedono procedure più rigide per l’adozione dei pacchetti orfani e sistemi automatici per individuare comportamenti anomali prima che il codice raggiunga gli utenti finali.

La compromissione dell’AUR dimostra che la trasparenza dell’open source non elimina automaticamente i rischi della supply chain: gli attaccanti puntano sempre più spesso sugli strumenti utilizzati quotidianamente dagli sviluppatori, perché consentono di raggiungere migliaia di sistemi attraverso canali considerati affidabili.