Nach Angaben von IFIN nutzt der Angreifer die offene Struktur des AUR aus. Das Repository wird von der Community gepflegt und enthält PKGBUILDs, also Build-Skripte mit Anweisungen zum Herunterladen, Kompilieren und Installieren von Software außerhalb der offiziellen Arch-Paketquellen. Weil dieser Bereich nicht vorab geprüft wird, können Bedrohungsakteure dort Schadcode über Pakete einschleusen, deren Besitz unbemerkt wechselt.
Michael Taggart von IFIN berichtet, dass die manipulierten Pakete um Preinstall-Skripte ergänzt wurden. Diese laden das npm-Paket atomic-lockfile herunter und führen es aus. Whanos untersuchte ein Beispiel dieses Pakets und fand darin eine Linux-ELF-Datei namens deps. In dem Bericht beschreibt er die Komponente als „einen Zugangsdaten-Stealer mit optionalen eBPF-Rootkit-Fähigkeiten, die nur mit Root-Rechten nutzbar sind“.
Whanos zufolge ist die Malware auf Entwickler-Arbeitsplätze und Build-Umgebungen zugeschnitten. Sie zielt auf Daten aus Browsern und Electron-Anwendungen sowie auf Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, VPN-Material, Shell-Verläufe und andere lokal gespeicherte Entwickler-Geheimnisse. Durch die Nutzung von eBPF könne die Schadsoftware mit erhöhten Rechten im Kernel laufen und lokale Prozesse verbergen.
Auch das Supply-Chain-Management-Unternehmen Sonatype hat eine Kampagne gegen das AUR dokumentiert, bei der ebenfalls das bösartige npm-Paket atomic-lockfile verteilt wurde, allerdings über einen anderen Weg. Laut Sonatype kaperten die Angreifer mindestens 20 verwaiste AUR-Pakete und veränderten deren PKGBUILD-Dateien, also die Bash-Skripte mit den für Arch-Linux-Pakete nötigen Build-Informationen.
Die Sonatype-Forscher schreiben, der Angreifer habe zusätzlich ein Post-Install-Skript eingefügt, das npm aufruft und während der Paketinstallation atomic-lockfile installiert. Ihre Analyse ergab, dass das npm-Paket wiederum ein Linux-Programm installiert, das Verweise auf ein eBPF-Rootkit enthält, das Prozesse, Dateien und Netzwerkschnittstellen verbergen kann. Außerdem deute die Binärdatei auf Infostealer-Funktionen hin. Sonatype stellte zudem fest, dass die Komponente Daten archivieren, mehrteilige Dateien verarbeiten und per HTTP hochladen kann; die typische Funktionalität für Datenabfluss sei also vorhanden.
Die Maintainer des AUR arbeiten nach Angaben des Berichts daran, alle bösartigen Commits zu identifizieren und zu entfernen sowie die beteiligten Konten zu sperren. In einer Nachricht an die Community forderte der Arch-Linux-Paketbetreuer Jonathan Grotelüschen Nutzer auf, verdächtige Pakete zu melden.
Arch-Nutzern wird geraten, die Liste der betroffenen Pakete zu prüfen und die von Whanos veröffentlichten Kompromittierungsindikatoren abzugleichen. Michael Taggart verwies außerdem auf ein Skript, das ein System auf die atomic-lockfile-Malware überprüft. Werden kompromittierte Pakete gefunden, sollten laut Bericht alle Zugangsdaten ausgetauscht und eine Neuinstallation von Arch in Betracht gezogen werden, da ein Rootkit normale Bereinigungsversuche überstehen könnte.