Arch LinuxのAURパッケージを狙ったサプライチェーン攻撃が発生

今月初め、正体不明の攻撃者がArch LinuxのArch User Repository（AUR）に大量の悪意のあるパッケージをアップロードした ^[1], ^[2], ^[3]。

今回の侵害は、コミュニティ主導の重要なディストリビューションハブを標的にしており、数千人の開発者やユーザーがシステムレベルの侵害にさらされた可能性がある。AURはユーザーが送信したスクリプトに依存しているため、従来のセキュリティ境界をバイパスするために悪用されうる重大なサプライチェーンの脆弱性を抱えている。

攻撃の標的となったのは、オンラインのパッケージホスティングプラットフォームであるArch User Repositoryである ^[1], ^[4]。一部の報告によると、攻撃者は1,500個の悪意のあるパッケージをアップロードしたとされる ^[1], ^[2]。また、侵害されたパッケージ数は1,500個を超えると推定する報告もある ^[3]。

一方で、他のセキュリティソースはより低い数値を提示している。400個以上のパッケージが影響を受けたと報じるソースがあり ^[5]、400個超とするものもある ^[6]。また、WebProNewsによる別の報告では、その数は400個と記載されている ^[7]。

このキャンペーンの主な目的は、開発者から資格情報を盗み出すことだった ^[5], ^[6]。一部のケースでは、攻撃者はこの侵害を利用して、感染したシステムにeBPFルートキットを展開した ^[5], ^[6]。

eBPFルートキットはカーネル内で動作するため、攻撃者がプロセスを隠蔽し、標準的なセキュリティツールに検知されることなく永続性を維持できるため、特に危険である。この攻撃は2026年6月11日から6月13日の間に初めて報告された ^[2], ^[5]。