Shelly 2.4.1: Arch-Paketmanager mit verbessertem Netzwerk-Stack
Neben dem CLI-Paketmanager Pacman bietet Arch Linux mit Octopi und Pamac auch grafische Alternativen. Seit einigen Monaten macht Shelly als moderne grafische Alternative von sich reden.
Neben dem CLI-Paketmanager Pacman bietet Arch Linux mit Octopi und Pamac auch grafische Alternativen. Seit einigen Monaten macht Shelly als moderne grafische Alternative von sich reden.
Mitte Juni 2026 wurden über 1500 AUR-Pakete kompromittiert (siehe auch den vorigen Blog-Beitrag zu diesem Thema). Es zeugt natürlich von großer Überheblichkeit, als Mitautor eines Hacking-Buches zu glauben, selbst immun gegen Angriffe zu sein. Ein Update zum falschen Zeitpunkt hat mich auf den Boden der Tatsachen zurückgeholt und mir — einen Tag vor Urlaubsantritt — eine Menge sinnloser Arbeit beschert. Ich habe Anthropic- und OpenAI-Keys widerrufen, die SSH-Keys des betroffenen Notebooks von diversen Servern und Dienstleistern gelöscht und unzählige Passwörter geändert. Sch***!
Heute habe ich, natürlich ohne das System neuerlich zu booten, eine Analyse gemacht. Im Prinzip:
pacman --root /mnt/arch --dbpath /mnt/arch/var/lib/pacman -Qm
Ich habe 60 AUR-Pakete gefunden. Nur eines davon (libgdata, eine veraltete GNOME-Bibliothek für den Zugriff auf Google-Dienste) wurde kompromittiert. Ich habe es nur Stunden nach der Manipulation, aber eben noch vor der Berichterstattung über den Hack installiert. Extremes Pech im Timing!
Dieser Blog-Beitrag ist der Versuch einer persönlichen Aufarbeitung. Was ist passiert? Warum ist es passiert? Und was kann ich daraus lernen?
Eines vorweg. Dieser Artikel ist keine Kritik am Arch-Linux-Projekt. Dieses hat immer klar kommuniziert, dass AUR-Pakete — wie der Name schon sagt (Arch User Repository) — von den Benutzern selbst gepflegt werden und keiner Kontrolle unterliegen. Wer solche Pakete installiert, ist selbst verantwortlich, mit allen — dieses Mal sehr unerfreulichen — Konsequenzen.
Die Sicherheitsempfehlung schlechthin lautet: »Installieren Sie regelmäßig Updates.« Aber diese Regel gilt nur für Pakete aus offiziellen Quellen.
Für extern gepflegte Pakete wäre eine Cool-Down-Phase sinnvoll. Im Prinzip: »Mach ein Update aller offiziellen Pakete sowie eines aller extern gepflegten Pakete, sofern dieses Update zumindest 4 Tage alt ist«. (Über die genaue Zeitspanne kann man streiten.) Ich kenne allerdings keinen Paketmanager, der so eine Funktion bietet.
In die richtige Richtung gehen die Auto-Update-Funktionen von Debian und Ubuntu: Unter Debian werden per Default ausschließlich offizielle Debian-Sicherheitsupdates berücksichtigt (Datei /etc/apt/apt.conf.d/50unattended-upgrades). Sonstige Updates werden ignoriert und müssen manuell installiert werden. Ubuntu ist etwas liberaler und installiert alle Updates aus offiziellen Quellen (aber ebenfalls keine aus externen Quellen).
Kurz gesagt: Ein blindes Update über alle Pakete ist nur sinnvoll, wenn Sie sich über die Herkunft aller Pakete sicher sind. Vielleicht werde ich in zukünftigen Blog-Artikeln Tipps zusammenfassen, wie Updates feiner gesteuert werden können.
Eine andere Sicherheitsempfehlung lautet: »Verwenden Sie nur offiziell gepflegte Pakete.« Dennoch hat praktisch jede Distribution zusätzliche Paketquellen:
Wenn externe Quellen unsicher sind, warum gibt es sie dann überhaupt? Weil sie manchmal der einzige und viel öfter der bequemste Weg sind, um Software zu installieren, die in den offiziellen Quellen fehlt. Für mich als Autor ist es wichtig, neue, nicht so bekannte Programme unkompliziert auszuprobieren. Viele Entwickler nutzen externe Pakete zur Installation von Tools, die nicht oder nur in veralteten Versionen zur Verfügung stehen. Schließlich fehlen kostenlose Programme mit kommerziellem Ursprung (also keine reine Open-Source-Software) wie Google Chrome in den offiziellen Quellen. Für »große« Distributionen gibt es zumeist »halb-offizielle« Pakete, aber für kleinere Distributionen wie Arch Linux sind Sie auf AUR-Pakete angewiesen.
Insofern ist der Rat, auf externe Quellen zu verzichten, für fortgeschrittene Benutzer und Software-Entwicklerinnen nur schwer umzusetzen.
Alles, worüber ich hier im Kontext von Linux-Paketen schreibe, gilt im Übrigen auch für die Erweiterungen/Bibliotheken aller wichtigen Programmiersprachen, Editoren und anderer Tools: also für Python-Module, NPM-Pakete, VSCode-Plugins etc. Der Überbegriff für Angriffe auf derartige Zusatzpakete lautet Software Supply Chain Attack (Lieferkettenangriff).
Für mich persönlich ist das AUR-Debakel ein Grund, die Nutzung externer Pakete viel stärker zu hinterfragen. Vorgenommen habe ich mir folgende Regeln:
Der AUR-Angriff hat auf Authentifizierungsdaten abgezielt, also Keys, Tokens, Passwörter etc. aus allen erdenklichen Quellen (.ssh-Verzeichnis, Passwörter diverser Browser usw.) Eine sehr detaillierte Analyse der Malware finden Sie auf ioctl.fail.
In meinem Fall war das größte Problem die Passwortsynchronisation von Google Chrome. Ich speichere im Webbrowser viele Passwörter. Die Passwort-Synchronisation ist durch ein zusätzliches, persönliches Passwort geschützt. Bookmarks und Passwörter sollten also für Google unlesbar sein. Wenn ich ein neues System einrichte (Linux, Windows, macOS, iOS oder Android), installiere ich Google Chrome, melde mich bei Google an, gebe das Master-Passwort für Bookmarks und Passwörter ein und synchronisiere die Daten. Das geht blitzschnell und ist komfortabel. Aber es ist eben ein riesiger Single Point of Failure! Das Master-Passwort schützt mich vor einem Passwort-Hack bei Google, aber es hilft nicht, wenn der Angreifer die lokale Passwort-Datenbank (sqlite-Format) auslesen kann. Und genau das war beim AUR-Angriff der Fall.
Die Konsequenz: Ich werde in Zukunft die Anzahl der so synchronisierten Passwörter auf ein absolutes Minimum reduzieren und länger nicht benutzte Passwörter löschen bzw. woanders speichern. Der naheliegende Ort wäre natürlich ein Passwort-Manager. Ich muss aber gestehen, dass ich diesen Programmen gegenüber auch skeptisch bin. Sie ersetzen einen Single Point of Failure durch einen anderen. Wer mit plattformübergreifenden Tools positive Erfahrungen gemacht hat, darf seine/ihre Erfahrungen gerne in den Kommentaren teilen :-)
Auf meinem Linux-Notebook werde ich die aktuelle Parallel-Installation von Arch Linux und CachyOS bei nächster Gelegenheit durch Fedora ersetzen. Ich habe das Notebook zuletzt fast nur noch unterwegs verwendet. Im Büro habe ich mit dem Framework Desktop eine attraktivere Alternative. Dort habe ich mich im Rahmen meiner KI-Arbeiten gut an Fedora gewöhnt.
Zu glauben, Fedora sei frei von den skizzierten Gefahren, wäre natürlich naiv. Aber vermutlich sind die Risiken bei großen, weit verbreiteten Distributionen mit kommerziellem Hintergrund (Fedora ist ja eine Art offizielle Spielwiese von Red Hat) doch geringer als bei kleineren Distributionen — auch, was weit verbreitete, aber eben inoffizielle Paketquellen für Zusatzpakete angeht. Alleine schon die Trennung über mehrere Einzel-Repos anstelle des zentralen AUR-Verzeichnisses ist schon ein Vorteil.
Der Abschied von Arch Linux fällt mir schwer. Ich empfinde das Rolling-Release-Modell äußerst attraktiv. Arch Linux hat über mehrere Jahre sehr gut für mich funktioniert. Aber ich werde auch in Zukunft nicht ganz ohne externe Pakete auskommen. Mit AUR habe ich mir die Finger einmal verbrannt. Diese Art der Verwaltung externer Pakete ist vielleicht doch zu liberal; Paketmanager wie yay oder paru verschleiern das Risiko zu sehr. Ein zweites Mal will ich dieses Risiko nicht eingehen.
Mit Yay 13.0 erscheint ein umfangreiches Update. Der beliebte AUR-Helfer erweitert Prüfmechanismen für Pakete, nachdem es zuletzt zu massiven Malwarebefall in AUR Paketen kam . Nutzer erhalten zusätzliche Werkzeuge vor Installationen und Aktualisierungen. Eine wichtige Neuerung zeigt das Änderungsdatum von PKGBUILDs. Suchergebnisse und Upgrade-Menüs enthalten nun Altersangaben. So werden kürzlich geänderte Pakete schneller sichtbar. Die […]
Der Beitrag Yay 13.0 für Arch Linux: Mehr Kontrolle nach AUR-Sicherheitsvorfällen erschien zuerst auf fosstopia.
Das Arch User Repository erlebt derzeit einen der schwersten Sicherheitsvorfälle seiner Geschichte. Zahlreiche Pakete wurden manipuliert und die Arch Maintainer arbeiten derzeit an einer umfassenden Bereinigung. Die Probleme begannen nach einer Warnung über ungewöhnlich viele bösartige Paketübernahmen. Angreifer nutzten das Adoptionssystem für verwaiste Pakete und schmuggelten schädliche Änderungen ein. Die Zahl betroffener Einträge stieg schnell […]
Der Beitrag Arch Linux blockiert das Anlegen neuer AUR Accounts erschien zuerst auf fosstopia.
Die Entwickler von Arch Linux haben die Konsequenzen aus den Angriffen der letzten Tage auf das AUR gezogen und das Repository für neue Anmeldungen vorübergehend gesperrt.
Das Arch User Repository (AUR) sah sich am Wochenende weiteren Angriffen ausgesetzt. Eine zweite Welle manipulierter Paketbeschreibungen hält die Entwickler auf Trab.
Am 11.6. 2026 entdeckten Sicherheitsforscher kompromittierte AUR-Pakete in Arch Linux (AUR = Arch User Repository). Zwischenzeitlich waren ca. 1600 AUR-Pakete betroffen.
AUR-Pakete sind nicht offizielle Zusatzpakete, die kein dezidiertes Prüfverfahren durchlaufen. Die Installation erfolgt häufig über einsteigerfreundliche Tools wie yay oder paru. Der Angriff erfolgte durch die Modifizierung der PKGBUILD-Dateien von Paketen, die als verwaist (orphaned) galten, für die es also keinen Maintainer mehr gab. Aufgrund der veränderten PKGBUILD-Datei wurde zusätzlich zum Paket Schadsoftware installiert.
Ziel des Angriffs ist offensichtlich das Einsammeln von Passwörtern aus Firefox- und Chromium-basierten Browsern sowie von SSH-Keys und anderer sensibler Daten. Die Informationen dazu sind noch spärlich.
Ob ich selbst betroffen bin, kann ich aktuell nicht mit Sicherheit sagen; auf meinem Linux-Notebook habe ich zwei oder drei Tage vor Bekanntwerden das letzte Update durchgeführt. Vorerst habe ich das Gerät stillgelegt und den heutigen Morgen damit verbracht, potentiell betroffene SSH-Keys von diversen Server, GitHub- und GitLab-Accounts zu entfernen :-( An einer Neuinstallation wird kein Weg vorbeiführen.
Detaillierte Informationen finden Sie hier:
Weitere Links
Die Arch Linux Community erlebt einen der größten Sicherheitsvorfälle ihrer Geschichte. Im AUR wurden weit über eintausend Pakete manipuliert und mit Malware versehen. Zunächst ging man von rund 400 betroffenen Paketen aus. Doch die Zahl stieg im Laufe der Analyse immer weiter an. Erst meldete die Community etwa 900 kompromittierte Einträge. Später bestätigten die Entwickler […]
Der Beitrag Massiver AUR Vorfall: Über 1.500 Arch‑Pakete mit Malware verseucht erschien zuerst auf fosstopia.
Wieder einmal war das Arch Linux Community-Paketarchiv AUR Ziel eines Angriffs, bei den über 400 Pakete mit einer Dependency Credential Stealer Malware infiziert wurden.
Arch Linux hat seinen Projektleiter für weitere zwei Jahre bestätigt. Levente Polyak führt die Open‑Source‑Distribution weiter an. Die Entscheidung fiel durch eine transparente Wahl mit zwei Kandidaten. Polyak nutzt den Spitznamen „Anthraxx” innerhalb der Entwicklergemeinschaft. Sein Sieg wiederholt die Situation aus dem Jahr 2024. Damals übernahm er ebenfalls diese zentrale Führungsposition für das Projekt. Die […]
Der Beitrag Arch Linux: „Anthraxx” bleibt an der Spitze der Community erschien zuerst auf fosstopia.
Die neue Hauptversion 4.0 von Archinstall führt mit dem Textual-Framework eine modernere textbasierte Benutzeroberfläche ein, die die Arch-Installation nochmals benutzerfreundlicher gestaltet.
Um Manjaro ist es im vergangenen Jahr etwas ruhig gewesen. Mit Manjaro 26.0 stellen die Entwickler jetzt ein Release mit Plasma 6.5.4, GNOME 49 und COSMIC 1.0.1 vor.
Arch Linux erhält mit der Veröffentlichung von Pacman 7.1 mehr Sicherheit beim Paketmanagement. Die Sandbox-Steuerung wurde verfeinert und Systemaufrufe durch neue Flags eingeschränkt.
Die beliebte Linux Distribution CachyOS ist ab sofort in einer neuen Version verfügbar. Mit dem August 2025 ISO setzt das Projekt verstärkt auf Stabilität und Kontrolle über das Systemverhalten. Neuinstallationen nutzen nun standardmäßig den bewährten Linux LTS Kernel. Selbst wenn Anwender den aktuellsten Upstream Kernel wählen, bleibt der LTS Kernel als Fallback erhalten. Das sorgt […]
Der Beitrag CachyOS August 2025: Neue Version bringt mehr Stabilität und moderne Funktionen erschien zuerst auf fosstopia.
Weil Arch Linux seit kurzem Ausfälle der Infrastruktur zu beklagen hat und immer noch Opfer einer Denial-of-Service-Attacke ist, gibt das Projekt Auskünfte zur Attacke und nennt Workarounds.
Arch Linux strafft die Versionsüberprüfung für den offiziellen Paketbestand mit Bumpbuddy, einem Daemon, der automatisiert die Pakete auf neue Versionen überwacht.
Nur wenige Tage nach einem früheren Vorfall ist es einem Übeltäter gelungen, erneut Malware mit einem Remote Access Trojaner in Arch Linux AUR-Pakete einzuschleusen, berichtet Linuxiac.
Das AUR von Arch Linux steht derzeit offenbar im Fokus als Malware-Schleuder. Zum zweiten Mal innerhalb von zehn Tagen wurden Remote-Access-Trojaner hochgeladen.
Das Arch Linux Projekt warnt davor, dass eine Reihe von bösartigen Paketen, die einen Remote Access Trojaner enthalten, in das Arch User Repository (AUR) hochgeladen wurden.
Es war nicht das erste Mal und wird vermutlich nicht das letzte Mal sein: Letzte Woche wurden drei Pakete ins AUR von Arch Linux hochgeladen, die Malware verbreiten.
Linux-Distributionen gibt es Hunderte und immer mal wieder wird eine davon eingestellt. Besonders schade ist das, wenn es, wie jetzt, ein so engagiertes Projekt wie ArcoLinux trifft.
Nach acht Jahren intensiver Arbeit an ArcoLinux beendet der Gründer Erik Dubois sein Engagement. Die Entscheidung sei nicht leichtgefallen, schreibt er in einer Abschiedsbotschaft. Doch mit fast 60 Jahren merke er, dass Energie und Konzentration nachlassen. Jetzt sei der richtige Moment, das Projekt in Würde zu übergeben. ArcoLinux war mehr als nur eine Linux-Distribution. Es […]
Der Beitrag ArcoLinux wird eingestellt erschien zuerst auf fosstopia.
Viele Distributionen stellen ihre Paketquellen unter eine Lizenz. Arch Linux ist im Begriff, seine Paketquellen unter die sehr liberale 0BSD-Lizenz zu stellen.
Archinstall bietet weniger versierten Anwendern erleichterten Zugang zu Arch Linux, ohne auf die Flexibilität der Distribution verzichten zu müssen. Gerade ist v3.0 des TUI-Installers erschienen.
Viele Distributionen stellen ihre Paketquellen unter eine Lizenz. Arch Linux ist im Begriff, seine Paketquellen unter die sehr liberale 0BSD-Lizenz zu stellen.