- O Arch User Repository (AUR) teve mais de novecentos pacotes comprometidos por um vírus.
- O ataque consistiu na entrada de um agente malicioso que se fez passar por desenvolvedor confiável para inserir os malwares.
- Ao baixar e instalar um pacote infectado, um comando oculto é executado e o malware se conecta à internet para baixar a ameaça real, o infostealer chamado “atomic-lockfile”.
- O arquivo malicioso tem caráter duplo: rouba senhas e credenciais e usa técnicas para se ocultar profundamente no sistema.
- Especialistas sugerem aos usuários que troquem credenciais e reinstalem o Arch Linux do zero, devido ao grande alcance do AUR e ao método de inserção dos vírus.
O Arch Linux teve um ataque que comprometeu mais de 900 pacotes do Arch User Repository (AUR). O incidente envolveu um malware do tipo infostealer que visa senhas e chaves de acesso de programadores. A ação ocorreu na plataforma do AUR, utilizada para upload e download de pacotes por usuários da distro.
Empresas de cibersegurança identificaram que o atacante se cadastrou na plataforma fingindo ser um desenvolvedor confiável. Com essa identidade falsa, ele inseriu arquivos infectados nos pacotes. Ao baixar e instalar, o código malicioso se ativava, conectando-se à internet para baixar a versão real do ataque.
O malware tem natureza dual: além de roubar credenciais, ele se oculta no sistema para dificultar a detecção. A coleta visada inclui credenciais de serviços, tokens e dados de ferramentas como GitHub, SSH, HashiCorp Vault, navegadores e plataformas de comunicação.
Medidas tomadas e orientações
Os mantenedores do AUR trabalham para identificar e remover os pacotes comprometidos. Usuários são orientados a revisar downloads suspeitos e, se possível, fazer a troca de senhas. Especialistas recomendam reinstalar o Arch do zero para mitigar riscos.
A Sonatype aponta que o atacante pode ter explorado pacotes já criados por desenvolvedores, além de perfis falsos. A qualidade do repositório, por ser aberto, facilita a entrada de código malicioso sem checagem central. O incidente ressalta vulnerabilidades de repositórios comunitários.
Entre na conversa da comunidade