Serangan Rantai Pasok Landa Arch Linux

Serangan Rantai Pasok Landa Arch Linux – Komunitas pengguna sistem operasi Arch Linux dikejutkan oleh serangan rantai pasok (supply-chain attack) berskala masif yang menargetkan platform repositori paket komunitas mereka.

Dalam sepekan terakhir, sekelompok peretas dilaporkan berhasil mengambil alih lebih dari 400 paket perangkat lunak di dalam Arch User Repository (AUR).

Mereka menulis ulang skrip instalasi paket-paket tersebut guna menanamkan program pencuri kredensial berbahaya di setiap komputer pengguna yang melakukan proses kompilasi atau pembuatan paket.

Serangan siber agresif ini, yang diberi nama kampanye “Atomic Arch” oleh perusahaan keamanan siber Sonatype, tidak memanfaatkan celah keamanan perangkat lunak (zero-day) atau kelemahan sistem internal milik Arch Linux.

Alih-alih meretas server utama, para pelaku kejahatan siber mengeksploitasi model kepercayaan (trust model) komunitas dengan cara mengadopsi proyek-proyek paket yang statusnya telah yatim piatu (orphaned projects) atau ditinggalkan begitu saja oleh pemelihara lamanya.

Pihak otoritas Arch Linux menegaskan bahwa repositori resmi (official repositories) mereka sama sekali tidak terdampak oleh insiden ini, karena serangan murni terlokalisasi di dalam wadah kontribusi komunitas AUR.

Kendati demikian, mengingat AUR digunakan secara luas oleh jutaan pengembang dan administrator sistem di seluruh dunia untuk mendapatkan perangkat lunak pihak ketiga, skala paparan dari serangan ini dikategorikan sangat serius.

Manipulasi Metadata ”Git” dan ”PKGBUILD”

Modus operasional yang dilancarkan dalam kampanye Atomic Arch memperlihatkan tingkat kecerdikan yang tinggi di lapangan.

Paket-paket yang berhasil diambil alih oleh peretas tetap mempertahankan nama asli mereka, sejarah pembaruan (histories), serta reputasi kepercayaan yang melekat pada paket tersebut selama bertahun-tahun.

Peretas sama sekali tidak mengubah kode sumber aplikasi utama, melainkan hanya menyisipkan baris instruksi jahat di dalam resep kompilasi paket, yaitu pada berkas PKGBUILD atau skrip .install.

Guna menghindari kecurigaan dari para pengawas repositori, peretas memalsukan metadata komitmen Git (git commit metadata).

Manipulasi ini membuat baris perubahan kode berbahaya seolah-olah dikirimkan oleh pemelihara lama yang bereputasi baik dan telah mengelola paket tersebut selama bertahun-tahun.

Seorang pengguna tepercaya (Trusted User) Arch Linux kemudian mengonfirmasi bahwa akun asli milik pemelihara lama tersebut sebenarnya tidak pernah berkompromi atau diretas, melainkan murni dipalsukan identitasnya melalui manipulasi log Git oleh pelaku.

Rantai infeksi serangan siber atomic arch

Menulis Ulang PKGBUILD untuk Eksekusi npm install
Penarikan Paket atomic-lockfile@1.4.2 via Registry NPM
Eksekusi File Biner Rust (deps) di Komputer Pengembang
Pemasangan eBPF Rootkit Jarak Jauh Jika Pengguna Berstatus Root

Ketika seorang pengguna melakukan instalasi atau pembaruan paket yang terinfeksi pada atau setelah tanggal 11 Juni 2026, skrip PKGBUILD yang telah dimodifikasi secara otomatis akan menjalankan perintah npm install atomic-lockfile selama proses kompilasi berjalan.

Untuk mengelabui sistem, peretas sengaja menarik paket npm palsu bernama atomic-lockfile@1.4.2 mendampingi beberapa paket npm legal lainnya sebagai kedok perlindungan.

Di dalam paket npm palsu tersebut, terdapat kait pra-instalasi (preinstall hook) yang dirancang untuk mengeksekusi file biner format Linux ELF bernama deps.

Begitu pengguna membangun paket tersebut, biner Rust berbahaya itu akan langsung berjalan secara otonom di latar belakang sistem.

Beberapa contoh paket populer yang telah dikonfirmasi terinfeksi dan dilaporkan ke daftar surat menyurat (mailing list) Arch Linux antara lain paket alvr dan premake-git.

Memanen Rahasia Dapur Pengembang

Hasil pembedahan kode (reverse engineering) terhadap muatan biner deps mengungkap bahwa malware ini merupakan program pencuri kredensial berbasis bahasa pemrograman Rust.

Yang secara spesifik membidik stasiun kerja pengembang (developer workstations) serta sistem otomatisasi pembangunan perangkat lunak (build systems).

Aplikasi jahat ini memiliki kemampuan agresif untuk memanen berbagai data rahasia bernilai tinggi, meliputi:

Data Browser.

Menguras cookies, token otentikasi, serta data penyimpanan lokal (local storage) dari seluruh browser berbasis Chromium seperti:

Google Chrome.
Microsoft Edge.
Brave.
Dan sejenisnya.

Aplikasi Kolaborasi Kerja.

Mencuri data sesi (session data) dari aplikasi berbasis Electron, termasuk:

Slack.
Discord.
Microsoft Teams.

Kunci Akses Pengembang.

Apa yang dipanen dari sini, sebagai berikut:

Token akun GitHub.
Registri npm.
Sistem manajemen rahasia HashiCorp Vault.
Token pembawa (bearer material).
Metadata akun OpenAI/ChatGPT.

Infrastruktur Jaringan.

Dari infrastrktur jaringan pelaku dapat melakukan:

Mengambil kunci SSH (SSH keys).
Daftar host tepercaya (known_hosts).
Riwayat perintah terminal (shell histories).
Kredensial login Docker dan Podman.
Profil konfigurasi VPN.

Seluruh berkas rahasia yang berhasil dijarah kemudian dieksfiltrasi oleh malware ke luar jaringan menggunakan protokol HTTP menuju layanan penyimpanan sementara di domain temp.sh.

Baca juga: Curi Webcam Bikin Zoom Palsu

Command & Control (C2)

Sementara itu, jalur komunikasi perintah dan kendali (Command and Control/C2) dijalankan memanfaatkan jaringan layanan tersembunyi Tor (Tor onion service) melalui proksi local loopback internal gawai.

1. Penjarahan Data Sensitif (Smash-and-Grab)

Kunci SSH, Kredensial Docker/Podman, & Riwayat Shell Dikuras Habis.
Token Akses Cloud (GitHub, npm, HashiCorp Vault, OpenAI) Dipanen.

2. Penegakan Persistensi Otomatis (Systemd Service)

Hak Istimewa Root ──> Salin Diri ke /var/lib/, Unit di /etc/systemd/system/
Karyawan Biasa ──> Simpan di Home, Unit di ~/.config/systemd/user/
Konfigurasi ──> Setel Restart=always agar Selalu Bangkit.

3. Evasi Filter & Penyembunyian Jalur (Ebpf Rootkit)

Aktif Hanya Jika Malware Berhasil Mendapatkan Akses Root Sistem.
Memanipulasi BPF Maps (hidden_pids, hidden_names, hidden_inodes).
Mematikan Seluruh Upaya Debugging dan Menyembunyikan Soket Jaringan.

Guna memastikan dirinya tetap bertahan di dalam sistem meskipun komputer dinyalakan ulang, malware mengonfigurasi layanan otomatis sistem operasi (systemd service) dengan parameter Restart=always.

Jika berjalan di bawah hak akses pengguna biasa, malware akan bersembunyi di dalam direktori home dan menulis unit layanan di folder ~/.config/systemd/user/.

Namun, jika malware berhasil mendapatkan hak istimewa tingkat tinggi (root), ia akan menyalin dirinya ke dalam direktori /var/lib/ dan mendaftarkan unit sistem global di bawah /etc/systemd/system/.

Komponen Rootkit

Hal yang paling mengundang perhatian para peneliti keamanan siber adalah integrasi komponen eBPF (Extended Berkeley Packet Filter) rootkit di dalam malware pencuri data ini.

Analisis teknis menunjukkan bahwa komponen rootkit ini bersifat opsional dan hanya akan termuat apabila biner malware sejak awal berhasil dieksekusi dengan hak akses root.

Rootkit ini tidak digunakan untuk menaikkan eskalasi hak istimewa, melainkan murni untuk evasi atau bersembunyi dari alat pemantau sistem.

Ketika aktif, eBPF rootkit akan memanipulasi pemetaan BPF (pinned BPF maps) yang dinamakan hidden_pids, hidden_names, dan hidden_inodes.

Taktik ini secara efektif menyembunyikan nama proses, ID proses (PID), serta inode soket jaringan milik malware dari perkakas pemantau standar sistem operasi seperti ps, top, atau netstat.

Lebih jauh lagi, modul berbahaya ini dirancang untuk mendeteksi dan secara paksa membunuh setiap upaya analis keamanan yang mencoba menempelkan alat debugger (kill attempts to attach a debugger) ke dalam proses malware.

Di samping itu, dokumen analisis mendeteksi adanya file kedua yang ditanam oleh malware yang terikat dengan aplikasi monero-wallet-gui, yang diindikasikan kuat sebagai program penambang kripto ilegal (cryptominer) rahasia yang belum dianalisis penuh.

Skala Serangan dan Gelombang Kedua

Investigasi awal dari Sonatype awalnya hanya mencatat sekitar 20 paket AUR yang terkonfirmasi disusupi oleh kode berbahaya ini.

Namun, dalam waktu kurang dari 24 jam, pelacak komunitas beserta utas diskusi internal di forum aur-general mencatat pembengkakan angka yang sangat drastis.

Berdasarkan metode pemindaian massal (grepping) pada cerminan repositori Git AUR (AUR git mirror), jumlah paket yang terinfeksi resmi melonjak melewati angka 400 paket (tercatat sekitar 408 paket pada daftar utama) dan terus merangkak naik.

Menariknya, berdasarkan data dari platform pemantau Socket, paket npm berbahaya atomic-lockfile itu sendiri hanya mencatatkan angka 134 unduhan mingguan sebelum akhirnya dicabut paksa dari registri publik.

Hal ini membuktikan bahwa risiko paparan utama dari serangan ini murni bersumber dari jalur kompilasi otomatis gawai pengguna saat membangun paket AUR, bukan dari instalasi mandiri melalui ekosistem paket npm.

Situasi kian memburuk setelah para peneliti mengidentifikasi adanya gelombang serangan kedua yang diluncurkan oleh kelompok peretas yang sama. Kali ini, mereka menggunakan taktik serupa namun beralih memanfaatkan perintah kompilasi bun install js-digest.

Dorongan muatan ini disebarkan melalui jaringan akun peretas terpisah, namun pelacak komunitas berhasil menemukan benang merah elektronik yang mengarah pada penerbit npm yang sama dengan paket atomic-lockfile terdahulu.

Muatan akhir dari gelombang kedua ini membawa file biner format ELF yang berbeda secara nilai hash-nya, namun telah resmi ditandai oleh komunitas sebagai program jahat yang destruktif.

Mengingat jumlah penyebaran gelombang kedua ini masih terus dihitung dan divalidasi oleh komunitas melalui grep-based searches.

Pengguna diimbau untuk waspada dan memeriksa keberadaan kedua indikator tersebut (atomic-lockfile maupun js-digest) di dalam sistem mereka.

Langkah Pembersihan Sistem Secara Total

Saat ini, para pengelola Arch Linux tengah bergerak cepat melakukan pemulihan massal dengan:

Menyetel ulang komitmen Git yang korup.
Memblokir akun-akun peretas.
Meminta pengguna untuk terus melaporkan setiap temuan paket mencurigakan ke utas milis resmi.

Mengingat daftar paket yang terdampak masih terus berkembang dan belum sepenuhnya lengkap, para peneliti menyarankan pengguna yang melakukan instalasi paket AUR sejak tanggal 11 Juni 2026.

Dengan menganggap daftar publik saat ini sebagai referensi sementara dan segera mengambil langkah mitigasi mandiri yang ketat berikut:

1. Lakukan Pemindaian Riwayat Kompilasi.

Segera periksa riwayat log dan cache pembangunan paket internal komputer Anda.

Jalankan pencarian massal terhadap frasa perintah seperti npm install atomic-lockfile, bun install js-digest, serta jalur muatan lokal di direktori src/hooks/deps.

2. Isolasi Host dan Rotasi Total Kredensial.

Jika komputer terbukti pernah mengeksekusi paket yang masuk daftar hitam, segera anggap gawai Anda telah berada dalam kondisi kompromi total.

Hapus dan ganti kata sandi dan token terhadap seluruh aset digital yang sempat disentuh malware:

Sesi browser
Kunci SSH.
Token akses GitHub.
Npm, sesi Slack/Teams/Discord, token HashiCorp Vault, kredensial Docker.
Hingga kunci akses komputasi awan (cloud keys).

3. Berburu Jejak Persistensi Sistem.

Periksa keberadaan unit layanan systemd asing mencurigakan, di tingkat sistem global maupun di folder pengguna ~/.config/systemd/user/.

Cari keberadaan file aneh di bawah direktori /var/lib/.
Khusus untuk mendeteksi eBPF rootkit.
Periksa isi folder /sys/fs/bpf/ untuk melihat apakah ada pemetaan bernama hidden_pids, hidden_names, atau hidden_inodes.
Pantau pula koneksi keluar tak dikenal yang mengarah ke jaringan Tor.

4. Instal Ulang Sistem Operasi Secara Total.

Ini adalah poin krusial yang mengubah kebijakan pembersihan standar. Menghapus paket AUR melalui manajer paket (pacman) tidak lagi cukup jika payload telah telanjur dieksekusi.

Manajer paket hanya mampu menghapus file biner yang terdaftar di sistemnya, namun tidak dapat membuktikan atau membersihkan mesin dari infeksi eBPF rootkit yang berjalan di tingkat kernel.

Jika paket berbahaya sempat dieksekusi menggunakan hak akses root, satu-satunya jalan aman adalah melakukan instalasi ulang sistem operasi secara total dari media penyimpanan tepercaya.

Pengulangan Modus Lama

Taktik adopsi paket terbengkalai ini sebenarnya merupakan pengulangan modus kejahatan lama yang pernah menghantam paket pembaca PDF di AUR pada tahun 2018 silam.

Bedanya, versi tahun 2026 ini dilancarkan dalam skala industri yang jauh lebih masif. Namun secara modus operandi masih memakai cara lama.

Kampanye yang dilacak dengan kode identifikasi Sonatype-2026-003775 (Skor CVSS: 8.7) menjadi alarm keras bagi model tata kelola repositori berbasis komunitas.

Serangan ini berhasil membobol pertahanan karena AUR masih memprioritaskan nama besar dan sejarah panjang sebuah paket dibandingkan validasi siapa sosok yang memelihara paket tersebut saat ini.

Mulai saat ini, setiap paket yang baru saja diadopsi oleh pemelihara baru atau yang mendadak memunculkan skrip kait instalasi baru setelah sekian lama tidak aktif, wajib dicurigai dengan tingkat kewaspadaan yang sama tingginya seperti mengunduh berkas asing dari orang yang tidak dikenal.

Biasakan untuk selalu membaca isi berkas PKGBUILD dan skrip .install secara manual sebelum menekan tombol kompilasi sistem.

Baca juga: