Am 11.6. 2026 entdeckten Sicherheitsforscher kompromittierte AUR-Pakete in Arch Linux (AUR = Arch User Repository). Zwischenzeitlich waren ca. 1600 AUR-Pakete betroffen.
AUR-Pakete sind nicht offizielle Zusatzpakete, die kein dezidiertes Prüfverfahren durchlaufen. Die Installation erfolgt häufig über einsteigerfreundliche Tools wie yay oder paru. Der Angriff erfolgte durch die Modifizierung der PKGBUILD-Dateien von Paketen, die als verwaist (orphaned) galten, für die es also keinen Maintainer mehr gab. Aufgrund der veränderten PKGBUILD-Datei wurde zusätzlich zum Paket Schadsoftware installiert.
Ziel des Angriffs ist offensichtlich das Einsammeln von Passwörtern aus Firefox- und Chromium-basierten Browsern sowie von SSH-Keys und anderer sensibler Daten. Die Informationen dazu sind noch spärlich.
Ob ich selbst betroffen bin, kann ich aktuell nicht mit Sicherheit sagen; auf meinem Linux-Notebook habe ich zwei oder drei Tage vor Bekanntwerden das letzte Update durchgeführt. Vorerst habe ich das Gerät stillgelegt und den heutigen Morgen damit verbracht, potentiell betroffene SSH-Keys von diversen Server, GitHub- und GitLab-Accounts zu entfernen :-( An einer Neuinstallation wird kein Weg vorbeiführen.
Detaillierte Informationen finden Sie hier:
- https://ioctl.fail/preliminary-analysis-of-aur-malware/
- https://www.sonatype.com/blog/atomic-arch-npm-campaign-adds-malicious-dependency
- https://cybersecuritynews.com/arch-linux-aur-packages-compromised/
- https://linuxnews.de/massiver-angriff-auf-das-aur-ueber-400-pakete-kompromittiert/
- https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/ (Diskussion auf dem Arch-Linux-Forum)
- https://md.archlinux.org/s/SxbqukK6IA (Liste der betroffenen Pakete, inoffiziell, Stand 13.6.2026)
- https://github.com/lenucksi/aur-malware-check (Test-Scripts, ob Sie betroffen sind)
Weitere Links
- https://www.heise.de/news/Angriffswelle-auf-Arch-Linux-Hunderte-Paketbeschreibungen-mit-Malware-im-AUR-11330029.html
- https://www.phoronix.com/news/Arch-Linux-AUR-More-Than-1500
- https://www.archlinux.de/news/35807-Aktuelle-Aktivitaeten-schaedlicher-Pakete-im-AUR (spärliche Informationen)
- https://wiki.archlinux.org/title/Arch_User_Repository (Erklärung, was AUR-Pakete sind)
Hallo Herr Kofler,
ich nutze Garuda Linux als Arch-Lieblingsgeschmack.
Dort wurde auf das Projekt aur-malware-check von lenucksi bei github verwiesen:
https://github.com/lenucksi/aur-malware-check
Auch teilt einer der Haupt-Maintainer von Garuda mit, dass die von Garuda gepflegten chaotic-aur repos diese Angriffe wohl verhindern:
https://forum.garudalinux.org/t/attack-wave-on-aur-packages/48124
Vielen Dank auf jeden Fall für den Blogbeitrag, da Ihr Blog in meiner täglichen News-Bubble auftaucht habe ich hier zuerst davon erfahren. Ich bin seit der 7. Auflage ihrer Linux-Bibel ein geneigter Leser ihrer Produkte. Auch wenn KI mittlerweile schnelle Antworten auf konkrete Fragen liefert, ist das Hintergrundwissen inkl. Erklärungen, auch zum besseren Prompten und Rückmeldungen verstehen einfach weiterhin Gold Wert. Auch dafür noch einmal danke.
VG
Andreas Herrmann
Ich bin seit Jahren bei Manjaro und vermisse dabei nichts. Vorher nutzte ich sehr lange Kubuntu. Mich hat aber immer entweder die LTS oder STS Methode mit den „blockweisen“ Upgrades genervt (nenne ich mal so). Ein reines Arch wollte ich mir nicht antun damals, wäre heute evtl. anders.
Das AUR ist ja schon länger ein spezielles Thema und die Struktur, wenn Pakete verwaisen und ein „netter“ Freiwilliger kann das übernehmen und weiterpflegen, mag vom Sinn her toll gedacht sein, geht aber leider an der heutigen „Gefährlichkeit“ des Internets komplett vorbei.
An der Stelle stört mich das Thema Paketierung erheblich: Jede größere Distribution unterhält sein eigenes Schema. Aber im Kern sind sich die meisten Systeme ähnlicher als man meint. Auch wenn es in den Verzeichnisstrukturen Abweichungen geben mag, frage ich mich immer, warum es kein einheitliches Paketformat geben kann. Ich bin kein Linux-Experte, aber mein Gedanke wäre, dass es ein Basispaketformat geben könnte, in dem einfach beschrieben wird, wohin bestimmte Dateien kommen. Es gibt ja ohnehin eine Grundstruktur mit bin/, share/ usw. Das lässt sich doch theoretisch generell beschreiben, und ein Paketmanager von Debian/Ubuntu kann das gemäß deren Verzeichnisschema einbauen, und ein Arch-System oder Fedora oder SUSE macht es dann nach deren Schema.
Ich meine, wenn ich heute von GitHub etc. ein Paket selbst kompiliere und „make install“ aufrufe, wird es auch gemäß vorhandenen Verzeichnisstrukturen eingeordnet. Ja, mir ist klar, dass sowas kein sauber installiertes Paket darstellt. Aber das oder das eigene Home-Verzeichnis fände ich immer noch praktikabler als Snap oder Flatpak.
Die meisten Distributionen warnen ohnehin vor AUR. Das Prinzip ist nicht schlecht, wirkt aber für einige trotzdem wie ein „App Store“, nur dass da nichts geprüft wird.
Es ist mir interessant welche Pakete man zusätzlich aus der AUR Repo braucht, da ich ohne AUR gut auskomme. Für den normalen User ist AUR auch nicht nötig. Trotzdem finde ich es toll, dass es AUR gibt. So könnte man sehr schnell Software zur Verfügung stellen, z.B. an der Uni/Schule etc.
Bei mir ist ein Beispiel das Remmina RDesktop Plugin welches nur per AUR bereitgestellt wird. Dies benötige ich täglich für RDP Verbindungen zu Windows Systemen da ich noch keine komfortablere, freie „RDP Suite“ unter Linux gefunden habe als Remmina. Auch xpipe, das ich gerade teste, setzt erst einmal auf Remmina auf. Hier muss ich einmal schauen wie man da ggf. drum herum kommen würde.