Mais de 400 pacotes do Arch Linux distribuíam rootkit e infostealer via AUR
Uma campanha maliciosa comprometeu centenas de pacotes no Arch User Repository (AUR), injetando malware que rouba credenciais e utiliza um rootkit para ocultar sua presença. Usuários que compilaram esses pacotes inadvertidamente executaram a carga útil maliciosa.
MundiX News·16 de junho de 2026·5 min de leitura·👁 6 views
A ecossistema do Arch Linux foi alvo de um ataque em larga escala que afetou centenas de pacotes no repositório AUR (Arch User Repository). Atacantes assumiram o controle de projetos abandonados, mantiveram seus nomes e histórico de alterações, e então modificaram os arquivos PKGBUILD de forma que, durante a compilação do pacote, um malware fosse baixado e executado. Como resultado, os próprios usuários executavam a carga útil maliciosa ao compilar os pacotes.
Ataque não afetou os repositórios oficiais do Arch Linux, mas sim o AUR (Arch User Repository) – uma coleção de scripts PKGBUILD mantida pela comunidade. Conforme relatado por pesquisadores da empresa Sonatype, os atacantes procuraram deliberadamente por pacotes abandonados, que ficaram sem manutenção. Após obter o controle sobre tais projetos, eles alteraram os arquivos PKGBUILD e .install, adicionando o comando npm install atomic-lockfile. Sob o disfarce de uma dependência npm comum, o pacote malicioso atomic-lockfile versão 1.4.2 era baixado. Durante a instalação, ele executava um binário ELF chamado deps, escrito em Rust.
Análise realizada pelo pesquisador independente de segurança da informação Whanos mostrou que este é um infostealer completo, visando principalmente as máquinas de trabalho de desenvolvedores e sistemas de compilação. O malware roubava cookies, tokens e dados de armazenamento local de navegadores Chromium, extraía informações do Slack, Discord e Microsoft Teams, roubava tokens do GitHub, npm, HashiCorp Vault e OpenAI, além de chaves SSH, histórico de comandos do shell, perfis VPN e credenciais do Docker e Podman. Os dados roubados eram transmitidos para um servidor externo, e a comunicação com a infraestrutura de controle dos atacantes era organizada através do Tor. Para se manter no sistema, o malware criava um serviço systemd com reinício automático. Se o processo fosse executado com privilégios de root, o malware se copiava para o diretório /var/lib/ e criava uma unidade de sistema em /etc/systemd/system/. Ao ser executado como um usuário comum, o diretório pessoal e os serviços systemd do usuário eram utilizados.
Além disso, a atenção dos pesquisadores foi atraída por um rootkit eBPF embutido. Inicialmente, ele foi considerado o principal componente do ataque, mas depois descobriu-se que o módulo era opcional e só era carregado se os privilégios necessários estivessem presentes. O rootkit não era usado para escalonamento de privilégios, mas podia ocultar processos, objetos de rede e sua própria atividade dos meios de monitoramento padrão. Inicialmente, os especialistas da Sonatype relataram cerca de 20 pacotes comprometidos, mas logo os membros da comunidade contaram mais de 400 projetos infectados, e depois esse número se aproximou de 2000. Após isso, os especialistas descobriram uma segunda onda de ataques: em vez de atomic-lockfile, os atacantes começaram a usar o pacote js-digest, que era instalado via bun install e baixava outra carga útil maliciosa.
Os administradores do AUR já estão trabalhando na remoção dos commits maliciosos e bloqueando as contas associadas. Recomenda-se aos usuários que verifiquem cuidadosamente todos os pacotes AUR instalados ou atualizados após 11 de junho de 2026. No caso de uso de pacotes infectados, o sistema deve ser considerado comprometido, e recomenda-se a substituição imediata de todos os tokens, chaves e credenciais. Nos casos em que o malware foi executado com privilégios de root, os pesquisadores aconselham reinstalar o sistema a partir de um meio confiável, pois não é possível garantir a limpeza completa após a operação do rootkit.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A ecossistema do Arch Linux foi alvo de um ataque em larga escala que afetou centenas de pacotes no repositório AUR (Arch User Repository). Atacantes assumiram o controle de projetos abandonados, mantiveram seus nomes e histórico de alterações, e então modificaram os arquivos PKGBUILD de forma que, durante a compilação do pacote, um malware fosse baixado e executado. Como resultado, os próprios usuários executavam a carga útil maliciosa ao compilar os pacotes.
Ataque não afetou os repositórios oficiais do Arch Linux, mas sim o AUR (Arch User Repository) – uma coleção de scripts PKGBUILD mantida pela comunidade. Conforme relatado por pesquisadores da empresa Sonatype, os atacantes procuraram deliberadamente por pacotes abandonados, que ficaram sem manutenção. Após obter o controle sobre tais projetos, eles alteraram os arquivos PKGBUILD e .install, adicionando o comando npm install atomic-lockfile. Sob o disfarce de uma dependência npm comum, o pacote malicioso atomic-lockfile versão 1.4.2 era baixado. Durante a instalação, ele executava um binário ELF chamado deps, escrito em Rust.
Análise realizada pelo pesquisador independente de segurança da informação Whanos mostrou que este é um infostealer completo, visando principalmente as máquinas de trabalho de desenvolvedores e sistemas de compilação. O malware roubava cookies, tokens e dados de armazenamento local de navegadores Chromium, extraía informações do Slack, Discord e Microsoft Teams, roubava tokens do GitHub, npm, HashiCorp Vault e OpenAI, além de chaves SSH, histórico de comandos do shell, perfis VPN e credenciais do Docker e Podman. Os dados roubados eram transmitidos para um servidor externo, e a comunicação com a infraestrutura de controle dos atacantes era organizada através do Tor. Para se manter no sistema, o malware criava um serviço systemd com reinício automático. Se o processo fosse executado com privilégios de root, o malware se copiava para o diretório /var/lib/ e criava uma unidade de sistema em /etc/systemd/system/. Ao ser executado como um usuário comum, o diretório pessoal e os serviços systemd do usuário eram utilizados.
Além disso, a atenção dos pesquisadores foi atraída por um rootkit eBPF embutido. Inicialmente, ele foi considerado o principal componente do ataque, mas depois descobriu-se que o módulo era opcional e só era carregado se os privilégios necessários estivessem presentes. O rootkit não era usado para escalonamento de privilégios, mas podia ocultar processos, objetos de rede e sua própria atividade dos meios de monitoramento padrão. Inicialmente, os especialistas da Sonatype relataram cerca de 20 pacotes comprometidos, mas logo os membros da comunidade contaram mais de 400 projetos infectados, e depois esse número se aproximou de 2000. Após isso, os especialistas descobriram uma segunda onda de ataques: em vez de atomic-lockfile, os atacantes começaram a usar o pacote js-digest, que era instalado via bun install e baixava outra carga útil maliciosa.
Os administradores do AUR já estão trabalhando na remoção dos commits maliciosos e bloqueando as contas associadas. Recomenda-se aos usuários que verifiquem cuidadosamente todos os pacotes AUR instalados ou atualizados após 11 de junho de 2026. No caso de uso de pacotes infectados, o sistema deve ser considerado comprometido, e recomenda-se a substituição imediata de todos os tokens, chaves e credenciais. Nos casos em que o malware foi executado com privilégios de root, os pesquisadores aconselham reinstalar o sistema a partir de um meio confiável, pois não é possível garantir a limpeza completa após a operação do rootkit.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
