Arch Linux reagiert auf eine größere Malware-Kampagne im Arch User Repository. Das Projekt meldete am 12. Juni 2026 eine hohe Zahl bösartiger Paketübernahmen und Paketupdates im AUR. Während der Bereinigung können Nutzer Probleme beim Erstellen neuer Konten, beim Hochladen von Paketupdates und beim Übernehmen oder Anlegen neuer Pakete sehen. Für Nutzer von Linux ist der Vorfall relevant, weil das AUR zu den wichtigsten Community-Repositories im Arch-Ökosystem zählt.
Linuxiac berichtet, dass die AUR-Registrierungsseite am 15. Juni zeitweise einen Fehler 503 ausgab. Eine eigene Arch-Ankündigung zur kompletten Sperre neuer Registrierungen liegt bisher nicht vor. Die offizielle Projektmeldung nennt aber ausdrücklich mögliche Probleme beim Erstellen neuer AUR-Konten. Damit deutet alles auf eine temporäre Eindämmungsmaßnahme während der laufenden Bereinigung hin.
Der Vorfall betrifft nach bisherigem Quellenstand das Arch User Repository, nicht die offiziellen Arch-Linux-Pakete. Diese Unterscheidung ist wichtig. Das AUR enthält Community-Rezepte für Pakete. Nutzer bauen Software daraus in der Regel lokal. Genau diese Offenheit macht das AUR nützlich, aber auch anfällig für manipulierte PKGBUILDs und Install-Skripte.
Arch Linux räumt manipulierte AUR-Pakete auf
Arch Linux spricht offiziell von einer hohen Zahl bösartiger Paketübernahmen und Updates. Maintainer suchen nach schädlichen Commits und versuchen weitere Uploads zu verhindern. Nutzer sollen Änderungen an PKGBUILD-Dateien und Install-Skripten vor Updates prüfen. Verdächtige Commits sollen an Arch-Mitarbeiter über die aur-general-Mailingliste gemeldet werden.
Erste Berichte nannten mehr als 400 betroffene AUR-Pakete. Spätere Einordnungen sprechen von mehr als 1.500 auffälligen Paketen. Die endgültige Zahl kann sich noch ändern, weil die Prüfung weiterläuft. GamingOnLinux beschreibt den Angriff als Versuch, über Paketänderungen npm einzubinden und anschließend schädliche Komponenten nachzuladen.
Phoronix berichtet zusätzlich über eine weitere Welle mit stärker verschleiertem Code. Dabei tauchten laut Bericht unter anderem obfuskierte Befehle und Bun-Aufrufe auf. Die öffentliche AUR-Mailingliste enthält ebenfalls Diskussionen über Heuristiken für Install-Hooks und verdächtige Aufrufe von Paketmanagern wie npm, bun, pip, cargo, composer oder gem.
Was Arch-Nutzer jetzt prüfen sollten
Arch-Nutzer sollten AUR-Updates vorerst besonders sorgfältig prüfen. Das gilt vor allem für verwaiste Pakete, frisch übernommene Pakete und Pakete mit unerwarteten neuen Abhängigkeiten. Ein plötzlich auftauchendes npm, bun oder ein anderes Sprachpaketwerkzeug in einem Install-Hook ist ein Warnsignal. Auch geänderte Maintainer-Kontaktdaten können auf eine manipulierte Paketübernahme hindeuten.
Wer AUR-Helfer wie yay oder paru nutzt, sollte nicht blind bestätigen. Wichtig sind die Diff-Ansicht, die Install-Dateien und die vollständige Änderungshistorie. Lokal installierte AUR-Pakete lassen sich mit pacman -Qm auflisten. Danach können Nutzer die betroffenen Pakete mit den laufend aktualisierten Meldungen und Diskussionen abgleichen.
Der Vorfall ist auch für Arch-basierte Distributionen wie EndeavourOS, Garuda Linux oder CachyOS relevant, sobald Nutzer AUR-Pakete einsetzen. Eine Distribution kann die Risiken des offiziellen Paketbestands begrenzen. Sie kann aber nicht jede manuelle AUR-Installation absichern. Ghacks hatte zuletzt den neuen Kernel Linux 7.1 eingeordnet. Der aktuelle AUR-Vorfall zeigt nun eine andere Seite des Linux-Alltags: Supply-Chain-Sicherheit bleibt auch auf Desktop-Systemen ein zentrales Thema.
Arch Linux hält das AUR nach bisherigem Stand online und arbeitet weiter an der Bereinigung. Nutzer sollten AUR-Aktivitäten bis zur Entwarnung reduzieren, Paketänderungen manuell prüfen und verdächtige Funde an die Arch-Maintainer melden. Der wichtigste Punkt bleibt unverändert: AUR-Pakete sind Community-Inhalte und verdienen vor jeder Installation eine eigene Prüfung.