En bref
Que s'est-il passé ?
Le 11 juin 2026, la communauté Arch Linux divulgue une attaque de grande ampleur contre l'AUR (Arch User Repository) : plus de 400 paquets communautaires détournés en réseau de distribution de malware, campagne baptisée « Atomic Arch » (Sonatype).
L'AUR distribue des PKGBUILD construits localement : tout code malveillant s'exécute sur la machine du développeur au build ou à l'install. Les attaquants exploitent le transfert de propriété : ils adoptent des paquets orphelins (à réputation établie) et injectent une dépendance malveillante dans le PKGBUILD.
Le rayon d'explosion immédiat est limité aux systèmes Arch Linux, mais l'exemple est typique de l'abus de confiance dans l'open source et touche les machines de dev et les runners self-hosted.
Revoir les PKGBUILD avant build (ne pas faire confiance aveuglément aux AUR helpers), surveiller les changements de mainteneur et adoptions, builds isolés (sandbox ou conteneur), et épingler les sources.
Chronologie de l'attaque
La communauté Arch révèle l'adoption malveillante de plus de 400 paquets AUR orphelins, avec injection de logique dans les PKGBUILD.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
2FA et durcissement des comptes mainteneurs ; détection de republication de masse ; quarantaine.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 4 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :