Atomic Arch: AUR'a Yapılan Tedarik Zinciri Saldırısı

11 Haziran 2026’da güvenlik araştırmacıları, Arch Linux’un kullanıcı paket deposu AUR’a (Arch User Repository) yönelik büyük ölçekli bir tedarik zinciri saldırısını kamuoyuyla paylaştı. Kampanyaya araştırmacılar tarafından “Atomic Arch” adı verildi.

Haber gerçek. Abartılı değil — tersine, teknik detaylar oldukça endişe verici.

Ne Oldu?

Saldırganlar bir açık kapıyı hedef aldı: terk edilmiş AUR paketleri.

AUR’da paket sahipleri bazen projelerini bırakır. Arch Linux bu durumu “orphaned” (sahipsiz) olarak işaretler ve topluluk üyelerinin bu paketlerin bakımını üstlenmesine izin verir. Sahiplik devir alma süreci kasıtlı olarak kolaylaştırılmıştır — bu esneklik, AUR’un gücüdür.

Saldırganlar bu esnekliği sistematik biçimde kötüye kullandı: yıllarca birikmiş itibara sahip paketlerin sahipliğini devraldılar, ardından içlerine zararlı kod yerleştirdiler.

İlk dalga: Sonatype araştırmacıları 408 paketi tespit etti.
İkinci dalga: 12 Haziran itibarıyla etkilenen paket sayısı 1.500’ü aştı.

Saldırı Nasıl Çalışıyor?

Hedef nokta: PKGBUILD dosyaları.

AUR’da paketler kaynak kod olarak dağıtılır. yay, paru gibi AUR yardımcıları bu paketleri kullanıcının makinesinde derler. PKGBUILD, derleme ve kurulum adımlarını tanımlayan kabuk betiğidir.

Saldırganlar PKGBUILD’lere bir satır ekleyerek kurulum sonrasında atomic-lockfile adlı zararlı bir npm paketini sisteme indirip çalıştırdı. Paketin gerçek işlevi değiştirilmemiş görünüyordu — sadece kurulum adımlarına gizlice ekleme yapıldı.

# Tipik zararlı PKGBUILD manipülasyonu:
post_install() {
  npm install -g atomic-lockfile  # gizli yük buradan geliyor
}

Zararlı Yazılım Ne Yapıyor?

İki bileşenli bir payload:

Rust tabanlı infostealer — Kurulum sonrası aktive olur ve şunları hedef alır:

• SSH anahtarları
• Tarayıcı oturumları ve çerezler
• GitHub, npm, PyPI token’ları
• AWS, GCP, Azure erişim anahtarları
• Discord, Slack oturum verileri

eBPF rootkit — Root ayrıcalığı elde edildiğinde yüklenir. Linux çekirdeğinin eBPF altyapısını kullanarak kendi süreçlerini ve ağ trafiğini gizler. Standart ps, ls, netstat komutlarıyla tespit etmek güçleşir.

Bu kombinasyon — aktif veri sızdırma + kendini gizleme — sıradan bir malware’den daha ciddi bir tehdit oluşturuyor.

Kimler Etkilendi?

AUR yalnızca Arch Linux ve Arch tabanlı dağıtımlar tarafından kullanılır:

• Arch Linux
• Manjaro, EndeavourOS, Garuda Linux, ArcoLinux
• Steam Deck (SteamOS, Arch tabanlı)
• Arch üzerine kurulu CI/CD runner’ları

Saldırının doğrudan hedefi geliştiriciler ve CI ortamları: sıradan kullanıcıdan çok, SSH anahtarlarına ve bulut erişim token’larına sahip sistemler.

NixOS Bu Saldırıdan Etkilenmiyor — Ama Neden?

Doğrudan etkilenme yok: AUR, Arch’a özgü bir sistem. NixOS bu deposu kullanmıyor.

Ama daha önemlisi, NixOS’un temel tasarımı bu tür saldırılara yapısal bir direnç sağlıyor:

Hash doğrulaması zorunlu. flake.lock ve Nix store, tüm bağımlılıkların SHA256 hash’ini kayıt altında tutar. Bir paketin içeriği değişirse hash uyuşmaz, build başarısız olur. Saldırganın önce nixpkgs’e PR açması ve inceleme sürecini geçmesi gerekir.

Paket izolasyonu. NixOS’ta bir paketin kurulum scripti sisteme özgürce yazamaz. Nix store read-only ve content-addressed; bir hook’un npm install -g komutuyla sisteme bir şey yerleştirmesi mümkün değil.

Sahipsiz paket sorunu yok. nixpkgs merkezi bir depodur ve bakımsız paketleri topluluk gözden geçirir. AUR’un dağıtık, güven tabanlı modeli burada geçerli değil.

Bu avantajlar gerçek — ancak Nix dışı paket yöneticileri (pip, pnpm, cargo, docker pull) kendi güven zincirlerine sahiptir ve aynı garantileri sunmaz.

Sonuç

Atomic Arch, AUR’un güven modelindeki temel kırılganlığı gösteriyor: sahipsiz paketler, doğrulanmamış sahiplik değişimi ve PKGBUILD’in çalışma zamanı kapsamı.

Arch Linux, paket sahipliği devir sürecini sertleştireceğini duyurdu. Etkilenen paketler geri alındı, ilgili hesaplar askıya alındı.

Arch ve türevleri kullananlar için pratik adımlar:

1. yay veya paru güncelleme geçmişini kontrol edin — 1–12 Haziran arası kurulan AUR paketleri şüpheli
2. SSH anahtarlarını yenileyin, aktif oturumları kapatın
3. GitHub, npm, bulut servislerindeki token’ları döndürün
4. Sistem yeniden kurulumu düşünün — eBPF rootkit zor tespit edilir

NixOS kullanıcıları için bu saldırı doğrudan bir tehdit değil. Ama tedarik zinciri güvenliği her sistem için geçerli: Nix dışı araçlar hep dikkat gerektiriyor.

---

İlgili: Shai Hulud Saldırısı: NixOS Tedarik Zinciri Saldırılarına Ne Kadar Dayanıklı?

Sources:

• Privacy Guides — Around 1,500 AUR Packages Compromised
• StepSecurity — 400+ AUR Packages Hijacked: Atomic Arch Campaign
• Threat Modeling — Arch Linux AUR Supply Chain Compromise
• GamingOnLinux — The Arch Linux AUR had over 400 packages compromised