Malicious Aur Packages Jun 2026
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Recent Arch linux vulnerabilities are a good reminder of a few things.

Date: June 16, 2026

Recent Arch linux vulnerabilities are a good reminder of a few things.

1. AUR

   is not the official package repo
2. The AUR is community driven
3. AUR packages are not always safe

The first thing I’m doing to stop myself from running any aur updates automatically is removing any arch helper.

[38;2;248;248;242m[code][0m
  sudo pacman -Rns yay paru paru-bin

Currently the reported vulnerabilities are supply chain attacks limited to the aur, keep your arch system up do date, [1mBUT[0m do not update packages from the AUR right now. In fact I’m auditing my aur usage and removing anything I have not used in awhile.

Here is a nice script I’m using to walk through my packages and get rid of things I installed and probably don’t need anymore.

[38;2;248;248;242m[code][0m
  [38;2;248;248;242mpacman[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mQemq[0m[38;2;248;248;242m [0m[38;2;248;248;242m|[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m  [0m[38;2;248;248;242mfzf[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mm[0m[38;2;248;248;242m [0m[38;2;255;121;198m--[0m[38;2;248;248;242mpreview[0m[38;2;248;248;242m [0m[38;2;248;248;242m'[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m    [0m[38;2;248;248;242mecho[0m[38;2;248;248;242m [0m[38;2;241;250;140m"== package =="[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m    [0m[38;2;248;248;242mpacman[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mQi[0m[38;2;248;248;242m [0m[38;2;248;248;242m{[0m[38;2;248;248;242m}[0m[38;2;248;248;242m [0m[38;2;189;147;249m2[0m[38;2;248;248;242m>[0m[38;2;255;121;198m/[0m[38;2;248;248;242mdev[0m[38;2;255;121;198m/[0m[38;2;248;248;242mnull[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m    [0m[38;2;248;248;242mecho[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m    [0m[38;2;248;248;242mecho[0m[38;2;248;248;242m [0m[38;2;241;250;140m"== required by =="[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m    [0m[38;2;248;248;242mpacman[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mQi[0m[38;2;248;248;242m [0m[38;2;248;248;242m{[0m[38;2;248;248;242m}[0m[38;2;248;248;242m [0m[38;2;189;147;249m2[0m[38;2;248;248;242m>[0m[38;2;255;121;198m/[0m[38;2;248;248;242mdev[0m[38;2;255;121;198m/[0m[38;2;248;248;242mnull[0m[38;2;248;248;242m [0m[38;2;248;248;242m|[0m[38;2;248;248;242m [0m[38;2;248;248;242mgrep[0m[38;2;248;248;242m [0m[38;2;241;250;140m"Required By"[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m  [0m[38;2;248;248;242m'[0m[38;2;248;248;242m [0m[38;2;248;248;242m|[0m[38;2;248;248;242m[0m
  [38;2;248;248;242m  [0m[38;2;248;248;242mxargs[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mr[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mo[0m[38;2;248;248;242m [0m[38;2;248;248;242msudo[0m[38;2;248;248;242m [0m[38;2;248;248;242mpacman[0m[38;2;248;248;242m [0m[38;2;255;121;198m-[0m[38;2;248;248;242mRns[0m

Supply chain attacks are getting real scary in 2026, maybe we should listen to Ginger Bill a bit closer.