IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 1 900 paquets fournis par les utilisateurs dans le répertoire Arch Linux User Repository « AUR » de la distribution Linux open source Arch Linux ont été infectés par des logiciels malveillants

Le , par Jade Emy

340PARTAGES

4  0 
Plus de 1 900 paquets fournis par les utilisateurs dans le répertoire Arch Linux User Repository « AUR » de la distribution Linux open source Arch Linux ont été infectés par des logiciels malveillants

L'AUR d'Arch Linux est confronté à un incident de logiciels malveillants impliquant des paquets fournis par les utilisateurs et contenant des commits malveillants qui tentent de télécharger des charges utiles basées sur npm lors de l'installation. Il est important de noter que cet incident n'affecte que l'Arch User Repository, et non les dépôts de paquets officiels d'Arch Linux. Dans ce cas précis, des modifications suspectes apportées aux paquets de l'AUR ont ajouté des commandes npm sans rapport avec le logiciel d'origine. La communauté Arch évalue toujours l'ampleur totale de l'incident, et la liste des paquets affectés est susceptible d'évoluer.

Arch Linux est une distribution Linux open source à mise à jour continue. Arch Linux est maintenue à jour grâce à la mise à jour régulière des différents logiciels qui la composent. Elle fournit des « instantanés » mensuels qui servent de supports d'installation. Arch Linux est volontairement minimaliste et est conçue pour être configurée par l'utilisateur lors de l'installation, afin qu'il ne puisse ajouter que ce dont il a besoin.

Pacman, un gestionnaire de paquets spécialement conçu pour Arch Linux, est utilisé pour installer, supprimer et mettre à jour les paquets logiciels. L'Arch User Repository (AUR) sert de dépôt de logiciels géré par la communauté pour Arch Linux et fournit des paquets non inclus dans les dépôts officiels ainsi que des versions alternatives de paquets ; les paquets AUR peuvent être téléchargés et compilés manuellement, ou installés via un « assistant » AUR.

Récemment, l'AUR d'Arch Linux est confronté à un incident de logiciels malveillants impliquant des paquets fournis par les utilisateurs et contenant des commits malveillants qui tentent de télécharger des charges utiles basées sur npm lors de l'installation. Le problème a d'abord été signalé sur la liste de diffusion aur-general d'Arch Linux, où les contributeurs suivent les paquets affectés dans un fil de discussion dédié. Les efforts de nettoyage sont en cours, les commits malveillants étant supprimés et les comptes associés bannis.

Il est important de noter que cet incident n'affecte que l'Arch User Repository, et non les dépôts de paquets officiels d'Arch Linux. Dans ce cas précis, des modifications suspectes apportées aux paquets de l'AUR ont ajouté des commandes npm sans rapport avec le logiciel d'origine. Les rapports de la communauté indiquent que la logique malveillante est déclenchée lors de l'installation, impliquant fréquemment des paquets npm tels que atomic-lockfile.


Un exemple clair est le paquet AUR alvr, où une mise à jour suspecte a ajouté un comportement lié à npm à un logiciel qui n'utilise généralement pas npm. D'autres rapports soulignent des modifications similaires dans d'autres paquets, et les contributeurs d'Arch demandent aux utilisateurs de signaler d'autres commits malveillants dans le fil de discussion central. Cela dit, les utilisateurs d'Arch ne devraient pas mettre à jour les paquets AUR sans les examiner au préalable. Examinez les différences PKGBUILD, vérifiez les nouveaux fichiers .install et soyez prudents si les mises à jour introduisent des commandes npm ou des dépendances sans rapport avec le logiciel.

Les utilisateurs ayant récemment mis à jour des paquets AUR concernés devraient consulter l'historique des paquets, examiner les scripts d'installation suspects exécutés et considérer tout comportement d'installation inattendu basé sur npm comme une possible compromission. La communauté Arch évalue toujours l'ampleur totale de l'incident, et la liste des paquets affectés est susceptible d'évoluer. Actuellement, plusieurs paquets AUR ont fait l'objet de commits malveillants ; les contributeurs sont en train de les supprimer, et il est rappelé aux utilisateurs de vérifier les paquets AUR avant leur installation.

Cet incident intervient alors que Valve s'est à nouveau engagé à lancer la Steam Machine avec Arch Linux SteamOS au cours de l'année 2026, après avoir craint que la crise de la mémoire vive ne provoque un retard. « Rien n'a changé de notre côté », a déclaré Kaci Aitchison Boyle, responsable des relations publiques chez Valve. « D'autres informations seront communiquées lorsque nous aurons finalisé nos plans », explique Valve. Cet incident retardera-t-il encore le lancement de la Steam Machine ?

Voici le communiqué concernant l'incident :

Incident en cours concernant des paquets malveillants dans l'AUR

Nous constatons actuellement un volume élevé d'adoptions et de mises à jour de paquets malveillants dans l'Arch User Repository.

Nous travaillons activement à la détection des commits malveillants existants et tentons d'empêcher la publication de nouveaux commits malveillants. Pendant ce temps, et tandis que nous travaillons à la mise en place d'une solution plus permanente, les utilisateurs peuvent rencontrer des problèmes avec les opérations suivantes :

- Création de nouveaux comptes sur l'AUR
- Poussée de mises à jour de paquets
- Adoption ou création de nouveaux paquets

Nous continuons d'encourager tous les utilisateurs de paquets AUR à vérifier toutes les modifications apportées aux fichiers PKGBUILD et aux scripts d'installation lors des mises à jour, en particulier pendant cette période. Si vous remarquez des commits suspects sur un paquet que vous utilisez, veuillez contacter l'équipe Arch via la liste de diffusion aur-general en fournissant plus d'informations.

Sources : Rapport de l'équipe Arch Linux, Rapport sur GitHub, Analyse préliminaire du logiciel malveillant AUR

Et vous ?

Pensez-vous que ces rapports sont crédibles ou pertinents ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des milliers de systèmes Linux infectés par le logiciel malveillant furtif Perfctl depuis 2021, illustrant les défis de sécurité auxquels Linux fait face

Pourquoi Valve soutient Arch Linux, après son annonce d'aider Arch Linux à construire une infrastructure de services et une enclave de signature sécurisée, SteamOS étant construit sur Arch Linux

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels. La popularité des paquets en fait de parfaits vecteurs d'attaques
Vous avez lu gratuitement 5 184 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de NuageDev81
Nouveau Candidat au Club https://www.developpez.com
Le 15/06/2026 à 20:15
Le point important à mon avis est la séparation entre dépôts officiels et AUR. L’AUR est pratique, mais c’est presque du “build script fourni par un tiers” : il faut lire le PKGBUILD et surtout les fichiers .install avant chaque mise à jour sensible. Une commande npm ajoutée dans un paquet qui n’a aucun rapport avec l’écosystème JS est exactement le genre de signal faible à bloquer. Pour les machines un peu critiques, je garderais aussi une liste courte de paquets AUR réellement nécessaires, plutôt que de tout installer via un helper en automatique.
0  1