Im Juni 2026 wurden über 1500 mit Schadsoftware infizierte Pakete für Arch-Linux Versionen wie CachyOS, Manjaro, EndeavourOS, SteamOS, Artix Linux, RebornOS, ChimeraOS und andere Linux Versionen gefunden.
Diese infizierten Pakete befinden sich im Arch Linux User Repository, kurz auch AUR genannt. Dort wurden viele Projekte von Unbekannten übernommen und Schadcode eingefügt bzw. die Installer so abgeändert, dass Schadcode beim Installieren nachgeladen wird.
Wer und welche Linux-Versionen sind betroffen?
Praktisch alle Linux-Versionen sind betroffen, die auf Arch-Linux beruhen wie CachyOS, Manjaro, EndeavourOS, SteamOS, Artix Linux, RebornOS, ChimeraOS und andere. Benutzt Ihr ein Linux auf Basis von Fedora, Debian oder Ubuntu wie inux Mint, Ubuntu, ZorinOS, MX-Linux, Pop_OS, Fedora, Bazzite oder andere, dann seid Ihr nicht betroffen.
Wo findet der Angriff statt?
Die Angreifer attackieren also nicht eure installierte Linux-Version auf eurem PC oder Laptop, sondern praktisch die Lieferkette, also das Archiv, aus dem man sich bei Arch-Linux mit dem Paketmanager pacman und yay Software und Apps runterladen und installieren kann. Das AUR, Arch-Linux User Repository, seht Ihr oben im Bild. Dort befinden sich mehr als 114.000 Software und App-Pakete.
Wie suche ich infizierte Apps auf meinen Linux-PC?
Habt Ihr keine AUR-Pakete mit pacman oder yay in der letzten Zeit installiert, dann seid Ihr wahrscheinlich auf der sicheren Seite. Ihr könnte z.B. in den Updates, hier CachyOS, nachschauen, ob AUR-Pakete installiert wurden.
Einzelne Apps auf Malware prüfen
Alternativ startet einfach ein Terminal-Fenster und tippt den pacman-Befehl zum Auflisten der nicht-offiziellen Pakete ein:
pacman -QmAlle hier nun aufgeführten Pakete, Software und Apps sind nicht aus den offiziellen (hier CachyOS) Paketquellen wie core, extra oder multilib und können, müssen aber nicht, betroffen und infiziert sein.
Für mehr Infos über eine einzelne App oder ein einzelnes Modul tippt Ihr einfach den pacman-Befehl und den Namen der App ein, hier google-chrome
pacman -Qi google-chromeHier findet Ihr „Installed From“, da könnte AUR stehen und weitere Infos. Bei diesem Beispiel wurde Google Chrome von „https://www.google.com/chrome“ runtergeladen und ist wahrscheinlich unproblematisch.
Prüfscript automatisch ausführen
Es gibt hier bei CachyOS ein kleines Script, welches die lokal installierten Module, Software-Pakete und Apps aus dem AUR findet und mit der Liste der bereits sicher infizierten AUR-Module vergleicht.
Tippt einfach ein: (Bash)
bash <(curl -s https://cscs.pastes.sh/raw/aurvulntest20260611.sh)oder (Fish)
bash <(curl -s https://cscs.pastes.sh/raw/aurvulntest20260611.sh | psub)und Ihr erhaltet ein kurzes, aber aussagekräftiges Resultat der Suche nach infizierten Apps aus dem AUR.
Hier der Link zum CachyOS-Artikel. Dort findet Ihr auch die aktuellen Scripte.
Fazit
Gerade im letzten Jahr, begünstigt durch KI-Tools, wurde Windows aber auch Linux immer öfter angegriffen. Eine 100%-tige Sicherheit gibt es in der IT leider nicht. Vermutet Ihr, dass Ihr Pakete installiert habt, die möglicherweise infiziert sind, dann installiert euer Linux sicherheitshalber nochmal neu und verwendet nur Software aus den offiziellen Paketquellen, nicht aus dem AUR.
Das gilt letztlich natürlich aber auch für Windows 11, wo sich ja jeder Nutzer praktisch alles als EXE-Datei aus dem Netz runterladen kann und installieren kann.
