Lanskap keamanan sumber terbuka (open-source) kembali menerima hantaman keras. Pekan ini, aktor ancaman berhasil mengambil alih lebih dari 400 paket di dalam Arch User Repository (AUR) dan menulis ulang skrip pembuatannya (build scripts). Tujuannya secara spesifik adalah untuk menginstal malware pencuri kredensial (credential stealer) pada setiap mesin pengembang yang mengkompilasi paket tersebut.

Penting untuk dicatat: Repository resmi Arch Linux tidak terdampak. Serangan ini secara eksklusif menargetkan AUR, koleksi paket berbasis komunitas. Serangan yang dilacak oleh Sonatype sebagai kampanye "Atomic Arch" (ID: Sonatype-2026-003775, CVSS 8.7) ini tidak menggunakan kerentanan perangkat lunak (zero-day), melainkan mengeksploitasi model kepercayaan itu sendiri.

Para penyerang mencari dan mengadopsi paket-paket "yatim piatu" (orphaned projects)—paket yang telah ditinggalkan oleh pengelola aslinya sehingga terbuka bagi siapa saja untuk mengambil alih.

Baca Juga: Celah Kritis CVE-2026-20253 pada Splunk Enterprise Muluskan Jalan Menuju RCE

Untuk menyembunyikan jejak, penyerang memalsukan metadata commit Git sehingga perubahan skrip tampak seolah-olah dilakukan oleh pengelola tepercaya yang sudah lama bergabung. Begitu sebuah paket diadopsi, mereka memodifikasi skrip PKGBUILD atau .install untuk menyisipkan perintah jahat.

Gelombang Serangan:

1. Gelombang Pertama (atomic-lockfile): Skrip diubah untuk menjalankan perintah npm install atomic-lockfile selama proses build. Paket NPM ini memuat hook pra-instalasi yang mengeksekusi binary Linux ELF bernama deps.
2. Gelombang Kedua (js-digest): Gelombang lanjutan menggunakan taktik serupa dengan perintah bun install js-digest. Komunitas melacak bahwa paket ini didorong oleh kumpulan akun berbeda yang berafiliasi dengan penerbit NPM yang sama.

Berdasarkan rekayasa balik (reverse-engineering) yang dilakukan oleh peneliti independen Whanos, muatan depsmerupakan binary berbasis bahasa pemrograman Rust yang secara khusus menargetkan stasiun kerja pengembang (developer workstations).

Target Pencurian Kredensial:

• Kuki, token, dan penyimpanan lokal dari peramban berbasis Chromium.
• Data sesi dari aplikasi Electron (Slack, Discord, Microsoft Teams).
• Token GitHub, NPM, HashiCorp Vault, serta kunci bearer OpenAI/ChatGPT.
• Kunci SSH, data known_hosts, dan riwayat shell.
• Kredensial Docker, Podman, serta profil VPN.

Data yang dicuri dikirim melalui HTTP ke temp.sh, dengan Command and Control (C2) yang dialirkan melalui layanan onion Tor. Untuk mempertahankan eksistensinya (persistence), malware ini menginstal layanan systemd (baik di tingkat pengguna maupun sistem, bergantung pada hak akses).

Ancaman Rootkit eBPF: Hal yang membuat serangan ini luar biasa kritis adalah keberadaan rootkit eBPF opsional. Jika binary dijalankan dengan hak akses root, rootkit ini akan dimuat untuk menyembunyikan proses, nama proses, dan inode socket milik malware dari alat pemantauan standar menggunakan peta BPF yang disematkan (hidden_pids, hidden_names, hidden_inodes). Ia bahkan mematikan setiap upaya untuk memasang debugger.

Insiden ini mendemonstrasikan evolusi mematikan dari peretasan rantai pasok (supply-chain attack). Aktor ancaman memahami bahwa untuk meretas sebuah perusahaan, jalan termudah adalah dengan meretas mesin Linux milik pengembang (developer) atau infrastruktur DevOps mereka.

Tiga wawasan taktis dari Fourtrezz terkait mitigasi krisis ini:

1. Bahaya Kepercayaan Buta pada AUR: Menggunakan utilitas pembantu AUR (seperti yay atau paru) tanpa membaca berkas PKGBUILD adalah sebuah kelalaian fatal. Para pengembang (Dev/Ops) wajib membiasakan diri memvalidasi instruksi instalasi, terutama pada paket yang baru diadopsi atau tiba-tiba aktif setelah lama mati.
2. Membongkar Mitos Cleanup: Menghapus paket AUR yang terinfeksi tidaklah cukup. Ketika rootkit eBPF telah memiliki akses root dan dieksekusi, tidak ada lagi jaminan integritas pada sistem operasi tersebut. Manajer paket tidak dapat membuktikan mesin tersebut bersih. Jika host Anda mengeksekusi paket ini dengan status root, satu-satunya mitigasi absolut adalah instalasi ulang OS sepenuhnya dari media tepercaya.
3. Protokol Respons Insiden (Pasca 11 Juni): Jika stasiun kerja Anda mengkompilasi paket AUR sejak 11 Juni 2026, segera periksa log build untuk keberadaan atomic-lockfile atau js-digest. Jika terkonfirmasi positif, asumsikan host mengalami kompromi kredensial total. Lakukan rotasi seluruh kunci SSH, token cloud, akses repositori (GitHub/NPM), serta sesi komunikasi internal perusahaan.

Kecanggihan penggabungan pencuri kredensial serampangan (smash-and-grab stealer) dengan rootkit eBPF yang sangat teknis membuktikan bahwa ancaman ini dirancang oleh aktor yang sangat memahami arsitektur sistem operasi modern.