Arch Linux secara resmi telah menangguhkan pendaftaran pengguna baru di Arch User Repository (AUR) menyusul ditemukannya gelombang serangan rantai pasok (supply chain attack) yang menyasar ratusan paket perangkat lunak. Serangan ini memanfaatkan celah pada repositori berbasis komunitas tersebut untuk menyebarkan malware berbahaya kepada pengguna yang mengunduh dan membangun paket dari sumber yang telah dikompromikan.
Investigasi awal mengungkapkan bahwa kampanye serangan ini dilakukan dalam dua gelombang utama yang terkoordinasi. Gelombang pertama menggunakan paket bernama 'atomic-lockfile', sementara gelombang kedua yang lebih canggih melibatkan paket 'js-digest'. Kedua paket tersebut menyisipkan skrip JavaScript berbahaya yang secara otomatis mengunduh dan menjalankan biner hostil pada sistem pengguna saat proses kompilasi paket berlangsung.
Menurut laporan teknis, skrip tersebut dirancang untuk bekerja secara senyap di latar belakang tanpa memicu peringatan keamanan standar. Lebih dari 400 paket di AUR dilaporkan telah disusupi, di mana pelaku ancaman berhasil menanamkan infostealer untuk mencuri data sensitif serta eBPF rootkit yang memungkinkan akses kendali jarak jauh tingkat sistem pada perangkat target.
Menanggapi insiden serius ini, tim pengelola Arch Linux segera mengambil langkah mitigasi cepat. Mereka melakukan pembersihan dengan membatalkan komit yang terbukti berbahaya, memblokir akun-akun yang terlibat dalam distribusi malware, serta merilis daftar periksa keamanan bagi pengguna yang terdampak agar dapat melakukan pemindaian mandiri pada sistem mereka.
Pihak pengelola Arch Linux menegaskan bahwa AUR adalah repositori yang tidak didukung secara resmi dan berisi skrip pembangunan kiriman pengguna (user-submitted). Oleh karena itu, para administrator sistem dan pengguna diingatkan untuk selalu melakukan inspeksi manual terhadap berkas PKGBUILD sebelum menjalankan proses instalasi, guna memastikan integritas kode yang akan dijalankan di sistem lokal.
Bagi pengguna yang merasa sistemnya telah terdampak, tim keamanan Arch Linux telah menyediakan prosedur pembersihan resmi. Pengguna sangat disarankan untuk segera memperbarui sistem, menghapus paket yang mencurigai, serta melakukan rotasi kredensial dan kata sandi yang tersimpan di perangkat tersebut, mengingat sifat infostealer yang mampu mencuri data sensitif dalam waktu singkat.