Das Team von Arch Linux hat sich dazu entschlossen, das Arch User Repository (AUR) für neue Anmeldungen vorübergehend zu sperren. Das Repository war über das Wochenende von mehreren Wellen kompromittierter Pakete betroffen, deren Zahl von anfänglich 400 auf über 1.600 anstieg.
Bis die Aufräumarbeiten beendet sind, bleibt das AUR für Neuregistrierungen geschlossen. Von den insgesamt über 100.000 Paketen im AUR sind derzeit 13.046 Pakete verwaist. In den vergangenen sieben Tagen wurden laut Statistik 273 neue Pakete hinzugefügt und 5568 aktualisiert. Anwender können auf GitHub überprüfen, ob sie kompromittierte Pakete auf ihrer Hardware haben.
Die Repositories von Arch Linux selbst sind von den Supply-Chain-Attacken auf das AUR in keinster Weise betroffen.