Un ataque de cadena de suministro ha comprometido más de 408 paquetes del Arch User Repository (AUR). El mantenedor arojas adoptó los paquetes y los modificó con scripts de preinstalación que ejecutaban npm para instalar el paquete malicioso atomic-lockfile, diseñado para robar información e instalar un rootkit eBPF. El compromiso fue reportado y otros mantenedores trabajan para eliminar los paquetes infectados. Según Socket.dev, el paquete npm registró 134 descargas y era mantenido por el usuario herbsobering, quien también gestiona una imagen de contenedor que actúa como un proxy o reverse shell. Se recomienda a los usuarios de Arch Linux que revisen la lista de paquetes afectados y utilicen un script de verificación. Si se detectan indicios de compromiso, deben rotar todas las credenciales y considerar reinstalar el sistema, ya que la presencia de un rootkit elimina cualquier confianza en el sistema. La mayoría de los paquetes afectados son poco comunes, pero el alcance es significativo. Es inusual que un ataque de cadena de suministro incluya tanto un infostealer como un rootkit eBPF. La investigación continúa.
Noticias agregadas con IA