В репозитории AUR (Arch User Repository) злоумышленники захватили более 2000 заброшенных пакетов, заменив их PKGBUILD‑файлы так, чтобы при сборке загружалась и запускалась вредоносная программа через npm‑зависимость atomic‑lockfile (позже js‑digest). Малварь крала токены, cookie, SSH‑ключи, данные браузеров, Slack, Discord, GitHub и другие учётные данные, передавая их через Tor, и могла скрываться с помощью опционального eBPF‑руткита. По оценкам Sonatype и сообщества, заражены сотни‑тысячи пакетов; администраторы AUR удаляют вредоносные коммиты и блокируют аккаунты. Пользователям советуют проверить все установки AUR после 11 июня 2026 г., заменить украденные ключи и, при компрометации с правами root, переустановить систему.
