O Arch User Repository (AUR), um repositório de pacotes mantido pela comunidade para o Arch Linux, mais uma vez se tornou alvo de atividades maliciosas. Pouco tempo após uma operação de limpeza que removeu mais de 1.500 pacotes contendo código malicioso, uma nova ameaça emergiu: pacotes comprometidos estão agora adicionando mensagens de spam em russo, com conteúdo ofensivo, às configurações do shell dos usuários. Essa prática visa prejudicar a experiência do usuário e minar a confiança no ecossistema do AUR.
As alterações suspeitas foram inicialmente detectadas por Nicolas Boissia, que utiliza um bot com inteligência artificial e modelos de linguagem para identificar edições duvidosas. Segundo ele, as modificações maliciosas estavam sendo inseridas em arquivos de configuração de shells populares como bash, zsh e Fish. Como esses arquivos são carregados ao iniciar o terminal, os usuários poderiam se deparar com as mensagens indesejadas logo após a instalação de um pacote aparentemente inofensivo. Os primeiros commits com essas inserções foram registrados em 14 de junho, pouco depois do incidente anterior de pacotes maliciosos em massa. Nas últimas 24 horas, pesquisadores identificaram dezenas de pacotes com conteúdo semelhante, afetando mais de 70 pacotes, incluindo aqueles relacionados a Python, Ruby, Llama.cpp e outros projetos de destaque.
Este incidente reforça a vulnerabilidade inerente ao modelo de repositório aberto do AUR. Embora a facilidade com que a comunidade pode publicar e atualizar pacotes seja um dos seus pontos fortes, essa abertura também facilita o abuso por parte de atores maliciosos. Mesmo que as modificações não contenham um exploit direto ou um payload destrutivo, elas podem degradar o ambiente do usuário, corroer a confiança nos pacotes e transformar a instalação de uma simples utilidade em uma experiência desagradável e surpreendente. Embora ferramentas automatizadas, como os bots de detecção, ajudem a identificar alterações suspeitas mais rapidamente do que a moderação manual, a nova onda de spam demonstra que o problema persiste. O AUR necessita urgentemente de um processo de verificação mais rigoroso para novas edições, especialmente quando os pacotes modificam arquivos que são executados junto com o shell do usuário, a fim de prevenir futuras invasões e garantir a segurança e a integridade do ecossistema.
