Synology dévoile DSM 7.4 avec déduplication HDD, agent IA natif et Drive 4.1 à recherche sémantique. L’AUR d’Arch traverse une vague de paquets malveillants. Fedora : un compte contributeur compromis aurait permis à un agent IA d’interagir avec le bug tracker. Linux 7.1, Immich v3 RC, Proxmox DCM 1.1, KDE Plasma 6.7, Lore VCS d’Epic Games.
Le 11 juin 2026, les équipes de sécurité de Sonatype ont révélé une campagne massive de détournement de paquets dans l’Arch User Repository (AUR). Baptisée Atomic Arch, l’attaque a rapidement dépassé les premières estimations : de 400 paquets compromis le premier jour, le nombre est monté à plus de 1 500 en 48 heures.
Des chercheurs identifient désormais jusqu’à 1 900 paquets orphelins adoptés et modifiés. L’attaque automatisée injecte un credential stealer en Rust avec capacités rootkit via eBPF, ciblant SSH keys, tokens cloud, sessions navigateur et identifiants de messagerie.
Pour l’écosystème open source, cet incident dépasse largement Arch Linux. C’est le premier cas documenté d’une campagne industrialisée exploitant le mécanisme d’adoption des paquets orphelins à grande échelle.
