AURパッケージが情報窃取型マルウェアとルートキットに感染：大規模なサプライチェーン攻撃の発生

本記事は、Arch Linuxユーザーを対象とした深刻なセキュリティインシデントについて報告しています。信頼できるメンテナーになりすました新しいAUR（Arch User Repository）パッケージメンテナーが、408以上のパッケージを感染させたとされています。この攻撃は現在も進行中であり、複数のマルウェアプロファイルを持つさらなる感染パッケージが特定されています。

【何が起こったか】

影響を受けたパッケージは、プリインストールスクリプト（preinstall scripts）を改ざんされ、npmを使用して悪意のあるペイロードである`atomic-lockfile`パッケージをインストールするように仕向けられていました。さらに別の変異体では、`bun`を使用し、悪意のJavaScriptパッケージ`js-digest`をインストールする手口も確認されています。

【誰が/どのように】

この攻撃は、AURのリポジトリの仕組みを利用しています。具体的には、管理されていない（unmaintained）パッケージを自動的に探し出し、「採用」（adopt）することで、誰もがPKGBUILDや関連ファイルを変更し、悪意のあるコードを埋め込むことが可能でした。当初、既知のメンテナーアカウントが関与していると誤報されましたが、実際にはそのアカウントはなりすまされていた（spoofed）ものです。

【影響と対策】

Arch Linuxユーザーは、直ちに影響を受けたパッケージリストを確認し、提供されたスクリプト（`aur_check.sh`）を用いて自身のシステムが感染していないかチェックすることが推奨されています。もし感染が確認された場合、すべての認証情報をローテーションし、システムの再インストールを検討する必要があります。特にeBPFルートキットの可能性が指摘されており、システムの信頼性が失われているため、フォレンジック調査のためにシステムを保全することが重要です。

本件は、単なる情報窃取（infostealer）行為に留まらず、eBPFルートキットを含む高度なサプライチェーン攻撃であり、その深刻度が非常に高いと警告されています。

---

背景

AUR（Arch User Repository）は、Arch Linuxユーザーが作成したパッケージを共有するコミュニティリポジトリです。通常、信頼性の高いシステムですが、本件では「未管理のパッケージ」を自動的に探し出し、悪意のあるメンテナーになりすましてコードを改ざんするという、高度なサプライチェーン攻撃の手口が用いられました。

重要用語解説

• AUR (Arch User Repository): Arch Linuxユーザーによるコミュニティ主導のパッケージリポジトリ。一般に利用可能だが、管理体制上の脆弱性が今回の標的となった。
• ルートキット (Rootkit): システム内部の動作を隠蔽し、攻撃者が不正なアクセスや活動を行っていることを検知不能にするためのマルウェア群。システムの根幹を脅かす危険性がある。
• サプライチェーン攻撃: ソフトウェア開発の過程（パッケージング、配布など）のどこかを狙い、最終的なユーザーに届く製品自体を汚染するサイバー攻撃手法。

今後の影響

本件は、オープンソースコミュニティにおける信頼性の根幹を揺るがす重大な事態です。Arch Linuxユーザーだけでなく、同様のパッケージ管理システムを利用する全てのLinuxディストリビューションにとって、サプライチェーンセキュリティ対策の強化と、パッケージングプロセスにおける認証・検証プロセスの抜本的な見直しが急務となります。