Mais de 900 pacotes hospedados no Arch User Repository (AUR) foram comprometidos por um malware cuja finalidade é roubar senhas e chaves de acesso de usuários do Arch Linux. A ação consistiu em inserir código malicioso em pacotes disponíveis publicamente, permitindo que o software infectado execute rotinas ocultas durante a instalação.
A empresa de segurança IFIN identificou que o agente responsável criou um perfil na plataforma se passando por um desenvolvedor confiável e, com essa identidade, publicou versões alteradas de programas. Ao instalar esses pacotes, um comando disfarçado inicia a conexão com a internet para baixar o componente principal da ameaça: um infostealer denominado “atomic-lockfile”. O alvo declarado são sobretudo máquinas utilizadas por programadores e desenvolvedores.
O pesquisador de segurança independente conhecido como Thanos investigou o malware e descreveu seu comportamento em duas frentes: além de capturar credenciais e tokens, o executável emprega técnicas avançadas para se ocultar profundamente no sistema operacional, dificultando a detecção.
Por que o ataque é preocupante
O AUR funciona como um repositório colaborativo em que usuários cadastrados enviam e baixam pacotes. Diferentemente de serviços com curadoria corporativa, o AUR permite que praticamente qualquer pessoa publique conteúdo, o que facilita a entrada de atores maliciosos sem verificações formais. Estima-se que a base de usuários do Arch Linux supere 5 milhões de máquinas.
A empresa Sonatype apontou que, além de criar perfis falsos, o atacante também tomou posse de pacotes abandonados por seus mantenedores originais — uma prática comum no AUR — e introduziu o código malicioso nesses projetos recuperados.
Imagem: Divulgação
Entre os alvos de dados que o malware tenta coletar estão:
- Credenciais do GitHub;
- Artefatos de SSH;
- Tokens do HashiCorp Vault;
- Bancos de dados de cookies de navegador;
- Dados do Slack;
- Dados do Discord;
- Dados do Microsoft Teams;
- Dados do Telegram.
Os mantenedores do AUR estão varrendo o repositório para localizar e remover os pacotes comprometidos. Jonathan Grotelüschen, um dos responsáveis pela gestão do AUR, solicitou que usuários reportem quaisquer downloads suspeitos. Como medida de precaução, a recomendação divulgada inclui a troca de credenciais afetadas e, em casos graves, a reinstalação completa do Arch Linux.
Com informações de Tecmundo
Gudyê GR6 é editor-chefe e especialista em tendências musicais e entretenimento na GR6, a maior produtora de funk do Brasil. Com anos de experiência no mercado fonográfico, Gudyê lidera a equipe de conteúdo trazendo as últimas notícias sobre música, cultura urbana. Autor do Post: Gudyê GR6
