La communauté Arch Linux fait face à une importante attaque de la chaîne d’approvisionnement. Plus de 900 paquets de l’Arch User Repository (AUR) – certaines estimations évoquant même près de 1 500 paquets – auraient été modifiés pour intégrer du code malveillant.
L’attaque a ciblé des paquets AUR abandonnés. Des individus malveillants en ont repris la maintenance avant d’y injecter des scripts capables de dérober des données sensibles : clés SSH, jetons d’accès GitHub ou Docker, cookies de navigation et autres informations d’authentification.
Les attaquants ont également eu recours au typosquatting, une technique consistant à créer des paquets portant des noms presque identiques à ceux de logiciels populaires afin de piéger les utilisateurs qui commettent une faute de frappe ou ne vérifient pas attentivement le nom du paquet installé.
La bonne nouvelle est que les dépôts officiels d’Arch Linux ne sont pas concernés. Seuls les utilisateurs installant des logiciels via l’AUR, notamment avec des outils comme yay ou paru, sont potentiellement exposés.
Cet incident rappelle une règle essentielle de l’écosystème Arch Linux : l’AUR est un formidable outil communautaire, mais il repose sur la confiance et la vigilance de ses utilisateurs. Avant toute installation ou mise à jour d’un paquet AUR, il est indispensable de consulter le contenu du PKGBUILD et de rester attentif aux annonces de sécurité de la communauté.
