400超のArch Linuxパッケージがルートキットと情報窃取マルウェアを拡散

400超のArch Linuxパッケージがルートキットと情報窃取マルウェアを拡散

BleepingComputer – June 12, 2026

Arch User Repository（AUR）に登録されている400以上のパッケージから、認証情報やアクセストークンを標的とするLinuxルートキットと情報窃取型マルウェアが拡散されていたことがわかった。

オープンソースインテリジェンスコミュニティIndependent Federated Intelligence Network（IFIN）の報告によると、新たなメンテナーがAURプラットフォーム上で信頼できるパブリッシャーを偽装し、感染したパッケージを拡散していたとのこと。AURはパワーユーザーや開発者に人気が高いArch Linuxディストリビューションのコミュニティ主導型リポジトリで、Archの公式リポジトリにはないソフトウェアのダウンロード、コンパイル、インストール手順を記述したパッケージビルドスクリプト（PKGBUILD）が含まれる。

侵害されたパッケージには、有害なnpmパッケージ「atomic-lockfile」をダウンロードして実行するプリインストールスクリプトが埋め込まれている模様。独立系セキュリティ研究者のWhanos氏は、atomic-lockfileのサンプルの1つにLinux ELFペイロード「deps」が含まれ、これが「オプションでroot権限のみのeBPF（拡張Berkeley Packet Filter）ルートキット機能を備えた認証情報窃取マルウェア」だと指摘した。このマルウェアは開発者ワークステーションとビルド環境向けに設計され、ブラウザとElectronアプリケーションのデータ、Slack、Microsoft Teams、Discord、GitHub、npm、Vault、Docker／Podman、SSH、VPN関連データ、シェル履歴、その他のローカルに保存された開発者秘密情報を標的にしているようだ。

Splunk Enterpriseの重大な脆弱性により、認証なしでリモートコード実行許す恐れ（CVE-2026-20253）

The Hacker News – Jun 13, 2026

シスコ傘下のSplunkはSplunk Enterpriseの重大なセキュリティ脆弱性に対処するため、セキュリティアップデートをリリースした。この脆弱性はCVE-2026-20253として追跡され、CVSSスコアでは9.8と評価されている。

Splunkのアラートによると、この脆弱性によって認証なしでファイル操作やリモートコード実行を許す恐れがあるとのこと。「未認証のユーザーがPostgreSQLサイドカーサービスエンドポイントを介して任意のファイルを作成または削除することができる」とされ、「PostgreSQLサイドカーサービスエンドポイントに認証制御が欠如しているために存在し、ネットワークに接続可能なユーザーなら誰でも認証情報なしでファイル操作を実行できる」と説明された。

影響を受けるのはSplunk Enterpriseのバージョン10.2.4および10.0.7未満で、Splunk Enterprise 10.4のほか、Postgresサイドカーを使用していないSplunk Cloudは影響を受けないようだ。12日にはセキュリティ企業watchTower LabsがCVE-2026-20253に関する追加の技術詳細を公開しており、この脆弱性を悪用することで「/v1/postgres/recovery/backup」および「/v1/postgres/recovery/restore」エンドポイントを介し、脆弱なシステム上で事前認証なしでのリモートコード実行が可能になると指摘していた。

この脆弱性が攻撃に悪用された痕跡は見つかっていない。