Tragedi Arch Linux: 400+ Paket AUR Dibajak Malware

Halo kawan-kawan sesama pengguna *I use Arch BTW*, apalagi yang sering *ngoprek* sambil ditemani kopi, ada kabar darurat untuk kita semua. 🚨 Kalau kalian rajin melakukan pembaruan sistem sejak tanggal 11 Juni 2026, sebaiknya tahan napas sebentar. Sebuah tragedi besar baru saja melanda ekosistem kita. Lebih dari 400 paket di Arch User Repository (AUR) ketahuan dibajak untuk menyebarkan *malware* ganas. Ini bukan sekadar *script* iseng, melainkan kombinasi mematikan antara *infostealer* dan eBPF *rootkit*.

Insiden ini menjadi pukulan telak karena peretas tidak perlu mencari celah keamanan rumit atau *zero-day exploit* di Arch Linux. Sebaliknya, aktor ancaman di balik kampanye **Atomic Arch** ini mengeksploitasi pilar utama komunitas *open-source*: rasa saling percaya. Merujuk pada analisis awal dari laporan The Hacker News, mari kita bedah teknis operasinya.

Ilustrasi peretasan sistem operasi Linux dan eksploitasi rantai pasokan

Modus Operandi: Membajak Paket "Yatim Piatu" 🕵️♂️

Bagaimana peretas bisa menanam *malware* tanpa meretas peladen resmi? Target empuk mereka adalah *orphaned projects*—paket-paket AUR yang sudah lama ditelantarkan oleh pemeliharanya. Siapa saja di komunitas pada dasarnya bisa mengajukan diri untuk merawat proyek tak bertuan ini. Sayangnya, fitur demokratis ini disalahgunakan.

Setelah mengambil alih lusinan paket—beberapa di antaranya lumayan populer seperti `alvr` dan `premake-git`—mereka langsung menyuntikkan perintah berbahaya ke dalam *script* pembangunan (PKGBUILD atau `.install`). Mereka memalsukan *metadata commit git* agar rekam jejaknya terlihat seperti kontribusi sah dari pemelihara lama. Begitu *user* lengah dan memicu *build*, *script* tersebut secara rahasia menjalankan perintah `npm install atomic-lockfile`. Modul npm bodong inilah yang menarik *binary* Linux ELF berbahaya bernama `deps`.

Mengenal `deps`: Sang Pencuri Kredensial

Payload utama dari serangan ini adalah program *infostealer* karatan (karena dikembangkan menggunakan bahasa pemrograman Rust) yang dikhususkan menyasar *workstation* para pengembang. Begitu menyusup, *malware* ini bertindak layaknya penyedot debu rakus yang melahap aset-aset berharga kalian:

Cookie, token otentikasi, dan *local storage* dari peramban berbasis Chromium (Chrome, Edge, Brave, dll).
Data sesi dari aplikasi Electron (*developer tools*) seperti Slack, Discord, dan Microsoft Teams.
Token akses krusial seperti GitHub, npm, HashiCorp Vault, hingga kunci API OpenAI/ChatGPT.
Kunci akses SSH, berkas `known_hosts`, dan riwayat terminal *shell*.
Profil jaringan VPN serta kredensial rahasia dari layanan *container* Docker dan Podman.

Semua data rahasia ini lalu diselundupkan keluar menuju peladen penampung `temp.sh`. Guna menghindari deteksi lalu lintas jaringan, koneksi *Command and Control* (C2) dialirkan melalui layanan *onion Tor* menggunakan *local loopback proxy*.

eBPF Rootkit: Siluman Bersarang di Kernel 🛡️

Satu hal yang membuat ancaman ini naik kasta adalah sisipan *optional* berupa eBPF *rootkit*. Jika berkas `deps` tersebut sukses tereksekusi dengan hak akses *root*, ia akan langsung menanamkan peta BPF (*BPF maps*) ke dalam *kernel* sistem untuk menyamarkan eksistensinya.

Menggunakan mekanisme injeksi ke `hidden_pids`, `hidden_names`, dan `hidden_inodes`, sang *rootkit* sanggup menyembunyikan proses, nama berkas, dan *socket* jaringan dari intipan alat diagnostik standar milik Linux. Ia bahkan dilengkapi teknik *anti-debugging* untuk memblokir siapa saja yang mencoba membongkar isi perutnya.

Untuk memastikan nyawanya panjang (*persistence*), *malware* ini akan mendirikan layanan `systemd` dengan bendera `Restart=always`. Pada hak *user* biasa, layanan hantunya dititipkan ke `~/.config/systemd/user/`. Jika ia menembus *root*, ia akan menduplikasi badannya ke `/var/lib/` dan mendaftarkan unit layanan persisten di `/etc/systemd/system/`.

Gelombang Kedua dan Langkah Pembersihan Total

Bencana rupanya belum usai. Tak lama setelah gelombang pertama, peneliti mendeteksi gelombang kedua yang memanfaatkan skrip `bun install js-digest` dengan jaringan distribusi npm yang sama. Skala serangannya terus bergulir, dan anehnya, ada temuan *binary* kedua yang menyerupai program *wallet* Monero (kemungkinan sebuah *cryptominer* senyap).

Lantas, **langkah darurat** apa yang harus diambil? Menghapus (*uninstall*) *package* AUR yang bermasalah saja ~~sudah tidak efektif~~ terbukti percuma. Jika PC kalian terindikasi mengunduh paket kotor ini, segera ambil alih kendali dengan cara berikut:

**Verifikasi Sistem Historis:** Periksa segera direktori log dan riwayat kompilasi kalian sejak 11 Juni. Cari jejak perintah `npm install atomic-lockfile`, `bun install js-digest`, atau eksistensi jalur `src/hooks/deps`.
**Nuke from Orbit:** Jika *malware* sukses mengantongi akses *root*, asumsikan *rootkit* eBPF sudah meracuni *kernel* kalian sepenuhnya. Lupakan metode bersih-bersih manual; satu-satunya cara bergaransi aman adalah menghapus *disk* dan menginstal ulang sistem dari *flashdisk* bersih (*fresh install*).
**Rotasi Seluruh Kredensial:** Tetapkan status *compromised* pada PC kalian. Segera *revoke* semua token GitHub/npm, ganti *password* di peramban, putar paksa kunci SSH lama, dan amankan sesi aplikasi obrolan tim.
**Periksa Jejak Persistence:** Selidiki isi direktori `/sys/fs/bpf/` dan cari *map* yang menggunakan prefiks `hidden_`. Tinjau ulang layanan `systemd` yang mencurigakan di area *user* maupun *system*.

Pelajaran mahal yang bisa kita petik hari ini: rajin-rajinlah membaca berkas PKGBUILD dan *script* kompilasi sebelum menekan enter. Percaya buta pada paket yang diadopsi orang tak dikenal di AUR adalah tiket gratis menuju bencana rantai pasokan. Tetap aman dan selalu waspada!