Die Entwickler von Arch Linux haben die Konsequenzen aus den Angriffen der letzten Tage auf das AUR gezogen und das Repository für neue Anmeldungen vorübergehend gesperrt.

Das Arch User Repository (AUR) sah sich am Wochenende weiteren Angriffen ausgesetzt. Eine zweite Welle manipulierter Paketbeschreibungen hält die Entwickler auf Trab.

Am 11.6. 2026 entdeckten Sicherheitsforscher kompromittierte AUR-Pakete in Arch Linux (AUR = Arch User Repository). Zwischenzeitlich waren ca. 1600 AUR-Pakete betroffen.

AUR-Pakete sind nicht offizielle Zusatzpakete, die kein dezidiertes Prüfverfahren durchlaufen. Die Installation erfolgt häufig über einsteigerfreundliche Tools wie yay oder paru. Der Angriff erfolgte durch die Modifizierung der PKGBUILD-Dateien von Paketen, die als verwaist (orphaned) galten, für die es also keinen Maintainer mehr gab. Aufgrund der veränderten PKGBUILD-Datei wurde zusätzlich zum Paket Schadsoftware installiert.

Ziel des Angriffs ist offensichtlich das Einsammeln von Passwörtern aus Firefox- und Chromium-basierten Browsern sowie von SSH-Keys und anderer sensibler Daten. Die Informationen dazu sind noch spärlich.

Ob ich selbst betroffen bin, kann ich aktuell nicht mit Sicherheit sagen; auf meinem Linux-Notebook habe ich zwei oder drei Tage vor Bekanntwerden das letzte Update durchgeführt. Vorerst habe ich das Gerät stillgelegt und den heutigen Morgen damit verbracht, potentiell betroffene SSH-Keys von diversen Server, GitHub- und GitLab-Accounts zu entfernen :-( An einer Neuinstallation wird kein Weg vorbeiführen.

Detaillierte Informationen finden Sie hier:

• https://www.sonatype.com/blog/atomic-arch-npm-campaign-adds-malicious-dependency
• https://cybersecuritynews.com/arch-linux-aur-packages-compromised/
• https://linuxnews.de/massiver-angriff-auf-das-aur-ueber-400-pakete-kompromittiert/
• https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/ (Diskussion auf dem Arch-Linux-Forum)
• https://md.archlinux.org/s/SxbqukK6IA (Liste der betroffenen Pakete, inoffiziell, Stand 13.6.2026)

Weitere Links

• https://www.heise.de/news/Angriffswelle-auf-Arch-Linux-Hunderte-Paketbeschreibungen-mit-Malware-im-AUR-11330029.html
• https://www.phoronix.com/news/Arch-Linux-AUR-More-Than-1500
• https://www.archlinux.de/news/35807-Aktuelle-Aktivitaeten-schaedlicher-Pakete-im-AUR (spärliche Informationen)
• https://wiki.archlinux.org/title/Arch_User_Repository (Erklärung, was AUR-Pakete sind)

Die Arch Linux Community erlebt einen der größten Sicherheitsvorfälle ihrer Geschichte. Im AUR wurden weit über eintausend Pakete manipuliert und mit Malware versehen. Zunächst ging man von rund 400 betroffenen Paketen aus. Doch die Zahl stieg im Laufe der Analyse immer weiter an. Erst meldete die Community etwa 900 kompromittierte Einträge. Später bestätigten die Entwickler […]

Der Beitrag Massiver AUR Vorfall: Über 1.500 Arch‑Pakete mit Malware verseucht erschien zuerst auf fosstopia.

Wieder einmal war das Arch Linux Community-Paketarchiv AUR Ziel eines Angriffs, bei den über 400 Pakete mit einer Dependency Credential Stealer Malware infiziert wurden.

Das AUR von Arch Linux steht derzeit offenbar im Fokus als Malware-Schleuder. Zum zweiten Mal innerhalb von zehn Tagen wurden Remote-Access-Trojaner hochgeladen.

Im Arch User Repository (AUR) wurden erneut schädliche Pakete gefunden. Drei von Nutzern hochgeladene Anwendungen enthielten eine Fernzugriffssoftware mit Schadcode. Die betroffenen Pakete heißen librewolf-fix-bin, firefox-patch-bin und zen-browser-patched-bin. Alle wurden am 16. Juli veröffentlicht und stammten offenbar vom selben Urheber. Sicherheitsexperten entdeckten einen Trojaner, der aus einem fremden GitHub-Skript geladen wurde. Damit hätten Angreifer volle […]

Der Beitrag Drei infizierte AUR-Pakete mit Schadsoftware entdeckt erschien zuerst auf fosstopia.

Es war nicht das erste Mal und wird vermutlich nicht das letzte Mal sein: Letzte Woche wurden drei Pakete ins AUR von Arch Linux hochgeladen, die Malware verbreiten.