Arch Linux a désactivé les inscriptions de nouveaux comptes pour l'Arch User Repository suite à plusieurs vagues de mises à jour de paquets malveillants. Cette décision intervient après que plus de 1 500 paquets ont été compromis la semaine dernière.
L'AUR, un dépôt maintenu par la communauté pour les utilisateurs d'Arch Linux, a fait face à des attaques successives à partir du 11 juin. Les développeurs ont identifié un premier lot de plus de 1 500 paquets affectés liés à un paquet npm malveillant appelé js-digest.
Les vagues ultérieures des 13 et 14 juin ont utilisé différentes méthodes d'obfuscation, notamment des chaînes de caractères divisées et la détection locale par IA pour signaler les entrées. Ces mises à jour ont inséré des scripts malveillants dans des paquets tels que des outils de navigation et des applets de bureau.
Le 15 juin, le membre de l'équipe Leonidas Spyropoulos a annoncé le gel des inscriptions afin de permettre le nettoyage. Les dépôts principaux d'Arch ne sont pas affectés.
Il est conseillé aux utilisateurs d'examiner tous les fichiers PKGBUILD avant les mises à jour et de signaler les problèmes via la liste de diffusion aur-general.