L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Le 11 juin 2026, les chercheurs en sécurité de la chaîne d'approvisionnement de Sonatype ont révélé Atomic Arch, une campagne ayant détourné des centaines de paquets de l'Arch User Repository (AUR) — la collection de recettes de compilation maintenue par la communauté que les utilisateurs d'Arch Linux compilent et installent couramment sur leurs propres machines. Plutôt que d'exploiter une faille côté serveur, les attaquants ont abusé du modèle de confiance de l'AUR : ils ont adopté des paquets orphelins dont les mainteneurs d'origine s'étaient retirés, puis réécrit les scripts de compilation pour y glisser un logiciel malveillant lors de l'installation.

Ce qui s'est passé

Une fois un projet orphelin adopté, son script PKGBUILD ou .install était modifié pour exécuter npm install atomic-lockfile durant la compilation. Le paquet npm malveillant, atomic-lockfile@1.4.2, comportait un hook preinstall exécutant un binaire ELF Linux fourni nommé deps — un voleur d'identifiants qui, sur les systèmes où il s'exécutait en tant que root, pouvait charger une charge utile de second niveau en eBPF (un fichier de code nommé scales.bpf.c) pour obtenir une furtivité de type rootkit. Pour faire passer la manipulation pour légitime, les attaquants ont falsifié les métadonnées des commits git afin que les changements paraissent provenir d'un mainteneur de longue date ; un Trusted User d'Arch Linux a confirmé par la suite que le compte usurpé n'avait jamais réellement été compromis.

Le voleur visait les postes de développeurs et les environnements de compilation. Parmi les cibles signalées figuraient les données des navigateurs et des applications Electron, Slack, Microsoft Teams, Discord, les identifiants GitHub et npm, le matériel HashiCorp Vault, la configuration de Docker et Podman, les clés SSH, le matériel VPN et les historiques de shell.

Impact

Plus de 400 paquets AUR ont été confirmés détournés, une liste maîtresse communautaire atteignant environ 408 entrées et les listes consolidées grimpant plus haut à mesure de l'enquête.
Le paquet npm malveillant atomic-lockfile n'avait qu'une faible empreinte — de l'ordre de 134 téléchargements hebdomadaires avant son retrait du registre.
Sonatype suit la campagne sous la référence Sonatype-2026-003775 et lui attribue un score CVSS de 8,7 ; aucun CVE n'a été émis.
Une seconde vague, le 12 juin, est passée à des chemins d'installation fondés sur Bun, signe que les opérateurs itéraient activement pour échapper à la détection.

Pourquoi c'est important

L'AUR est explicitement géré par la communauté et s'accompagne d'un avertissement permanent invitant les utilisateurs à examiner les scripts de compilation avant d'installer — mais en pratique, le nom et l'historique d'un paquet inspirent bien plus confiance que la personne qui le maintient aujourd'hui. Atomic Arch transforme cet angle mort en canal de diffusion : un paquet abandonné qui se met soudain à comporter de nouveaux hooks d'installation mérite désormais la même méfiance qu'un paquet venu d'un inconnu. Le choix des victimes est tout aussi révélateur. En visant les machines de développeurs Linux — pleines de clés SSH, d'identifiants cloud et de jetons de gestion de code source — les opérateurs se sont donné les moyens de rebondir d'un seul poste compromis vers les logiciels et les infrastructures que ces développeurs maintiennent.

Chronologie

11 juin 2026

Les chercheurs de Sonatype révèlent la campagne « Atomic Arch » après avoir repéré des paquets AUR orphelins dont les scripts de compilation avaient été modifiés pour tirer une dépendance npm malveillante.

11 juin 2026

Les traqueurs communautaires et la liste de diffusion Arch aur-general commencent à recenser les paquets touchés, une liste consolidée atteignant environ 408 entrées.

12 juin 2026

Une seconde vague est observée, utilisant des chemins d'installation fondés sur Bun plutôt que sur npm seul ; les listes communautaires consolidées grimpent jusqu'à plusieurs milliers tandis que les mainteneurs de l'AUR suppriment les commits malveillants et bannissent les comptes responsables.

Sources

sonatype.comhttps://www.sonatype.com/blog/atomic-arch-npm-campaign-adds-malicious-dependency

thehackernews.comhttps://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/over-400-arch-linux-packages-compromised-to-push-rootkit-infostealer/

hackread.comhttps://hackread.com/atomic-arch-hijacks-linux-aur-packages-malware/

privacyguides.orghttps://www.privacyguides.org/news/2026/06/12/around-1-500-aur-packages-compromised-with-rootkit-like-malware/

cybersecuritynews.comhttps://cybersecuritynews.com/arch-linux-aur-packages-compromised/

Incidents liés

Chaîne d’approvisionnementContenu5 juin 2026

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim: Microsoft (GitHub repositories)

Chaîne d’approvisionnementContenu4 juin 2026

Le malware auto-propagateur IronWorm frappe 36 paquets npm (2026)

Des chercheurs ont révélé IronWorm, un voleur d'informations auto-propagateur écrit en Rust qui a compromis 36 paquets npm, dérobant les secrets de développeurs et de pipelines CI puis republiant des paquets piégés à l'aide d'identifiants de publication npm volés.

Victim: npm (registre Node Package Manager)

Chaîne d’approvisionnementContenu2 juillet 2021

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim: Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss: $200.0M

Chaîne d’approvisionnementContenu13 décembre 2020

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim: SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss: $100.00B