Hackers assumiram o controle de mais de 400 pacotes no Arch User Repository (AUR), a coleção comunitária de pacotes do Arch Linux, e reescreveram seus scripts de compilação para instalar um ladrão de credenciais em qualquer máquina que os compilasse. O AUR é separado dos repositórios oficiais do Arch, que não foram afetados.
Um relatório da comunidade de inteligência de código aberto Independent Federated Intelligence Network (IFIN) informa que um novo mantenedor se passou por um publicador confiável na plataforma para distribuir pacotes infectados. A distribuição Arch Linux é popular entre usuários avançados e desenvolvedores e usa o catálogo AUR para oferecer as versões mais recentes de softwares instalados, drivers e do kernel.
O AUR é um repositório mantido pela comunidade para a distribuição Arch que reúne scripts de compilação de pacotes, os PKGBUILDs, com instruções para baixar, compilar e instalar softwares que não estão nos repositórios oficiais do Arch. Ele é considerado essencial para qualquer distribuição baseada em Arch porque concentra aplicações proprietárias, versões beta e nightly de softwares open source, utilitários de nicho e versões antigas de pacotes que ainda preservam funções removidas em edições mais recentes.
No entanto, não se trata de um ambiente com validação rigorosa, e threat actors podem usá-lo para distribuir malware por meio de pacotes que mudam de proprietário sem chamar atenção. Neste caso, o ataque mirou o modelo de confiança, não uma falha de software: os pacotes comprometidos mantiveram seus nomes, seu histórico e a confiança que já vinham carregando, e só as instruções de compilação foram alteradas.
Segundo Michael Taggart, membro da IFIN, os pacotes comprometidos foram modificados com scripts de pré-instalação que baixam e executam um pacote malicioso do npm chamado atomic-lockfile. A Sonatype, que batizou a campanha de Atomic Arch, identificou o foco em projetos órfãos, pacotes cujos mantenedores tinham desistido deles, deixando-os abertos para adoção por qualquer pessoa. Os hackers também falsificaram metadados de commits do git para que as mudanças parecessem vir de um mantenedor de longa data, uma conta que um Trusted User do Arch Linux confirmou depois nunca ter sido comprometida.
Depois que um pacote era adotado, o arquivo PKGBUILD ou o script .install era modificado para executar npm install atomic-lockfile durante a compilação, baixando o pacote malicioso do npm junto com outros dois legítimos para disfarçar. Entre os exemplos confirmados informados à lista de discussão do Arch estão os pacotes alvr e premake-git. Se você instalou ou atualizou um pacote do AUR em 11 de junho ou depois, verifique-o nas listas atuais de pacotes afetados antes de confiar no host, já que a relação de nomes é grande, continua crescendo e ainda não está completa.
O pacote [email protected] carrega um gancho preinstall que executa um ELF Linux empacotado chamado deps. Ao compilar o pacote, o binário é executado. O malware é um binário em Rust criado para roubar segredos de desenvolvedores e está voltado a estações de trabalho de desenvolvedores e sistemas de build.
O pesquisador independente Whanos analisou reversamente o payload deps e o descreve como um ladrão de credenciais com capacidades opcionais de rootkit via eBPF apenas para root. Ele coleta cookies, tokens e dados de armazenamento local de navegadores baseados em Chromium, como Chrome, Edge, Brave e outros; dados de sessão de aplicativos Electron, incluindo Slack, Discord e Microsoft Teams; tokens do GitHub, npm e HashiCorp Vault, além de dados de autenticação bearer do OpenAI/ChatGPT e metadados de conta; chaves SSH, known_hosts e históricos de shell; credenciais do Docker e do Podman e perfis de VPN.
Os arquivos roubados são enviados via HTTP para temp.sh. O comando e controle funciona por meio de um serviço onion do Tor, usando um proxy local de loopback, e o malware instala um serviço systemd com Restart=always para persistência. Com root, ele copia a si mesmo para /var/lib/ e grava uma unit em /etc/systemd/system/; como usuário comum, usa o diretório pessoal e uma unit por usuário em ~/.config/systemd/user/.
Relatos iniciais exageraram o papel do rootkit em eBPF. Ele é opcional e só é carregado quando o binário já tem root e a capacidade necessária; não é usado para obter privilégios. Quando é ativado, o malware também pode carregar um rootkit em eBPF para se esconder, ocultando os próprios processos, nomes de processos e inodes de sockets das ferramentas padrão, usando mapas BPF fixados com os nomes hidden_pids, hidden_names e hidden_inodes, e encerrando tentativas de anexar um depurador.
A análise também mostrou que o binário prepara um segundo arquivo ligado ao monero-wallet-gui, classificado como um possível minerador de criptomoedas ainda não analisado. A Sonatype concluiu que o binário pode compactar dados, lidar com arquivos divididos em múltiplas partes e realizar envios via HTTP, indicando um mecanismo típico de exfiltração.
Além da primeira onda, uma segunda campanha usou bun install js-digest, enviado por um conjunto separado de contas que rastreadores da comunidade associam ao mesmo publicador do npm ligado ao atomic-lockfile. O payload é um binário diferente, um ELF distinto pelo hash, que a comunidade também classificou como malicioso. Ainda está sendo contabilizado até onde essa onda chegou.
Os mantenedores do AUR estão revertendo os commits maliciosos, banindo as contas envolvidas e pedindo que os usuários continuem reportando pacotes suspeitos no tópico da lista de discussão. Jonathan Grotelüschen, mantenedor de pacotes do Arch Linux, pediu à comunidade que relate qualquer pacote malicioso encontrado.
Como regra geral, recomenda-se confiar apenas em projetos com atualizações frequentes e uma comunidade ativa ao redor deles. Daqui para frente, leia o PKGBUILD e quaisquer ganchos .install antes de compilar, especialmente em pacotes adotados recentemente ou que voltaram a ter atividade depois de muito tempo parados. Se você não entender as instruções de build, não instale o pacote.
Os usuários do Arch devem revisar a lista de pacotes afetados e procurar os indicadores de comprometimento fornecidos no relatório de Whanos. Michael Taggart também apontou um script que verifica a presença do malware atomic-lockfile no sistema. Para detecção, o SHA-256 do payload principal é 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b; o conjunto completo de indicadores, incluindo o host onion de C2, está na análise da ioctl.fail.
Se pacotes comprometidos forem encontrados, os usuários devem rotacionar todas as credenciais e considerar reinstalar o Arch do zero, já que um rootkit pode sobreviver a tentativas normais de limpeza. Se o pacote foi executado como root, assuma que o rootkit está presente e reinstale a partir de mídia confiável. De qualquer forma, isso não é um detalhe da primeira onda: a mesma tática de adoção atingiu um pacote abandonado de visualização de PDF em 2018, e a versão de 2026 apenas ampliou a escala, fazendo parte de uma onda mais ampla de ataques à supply chain que sequestram projetos órfãos para herdar sua confiança, em vez de usar typosquatting para enganar usuários.
A lista de afetados ainda está incompleta e não há CVE atribuído; a Sonatype acompanha a campanha como Sonatype-2026-003775, com CVSS 8,7. O ataque funcionou porque o AUR ainda confia mais no nome e no histórico de um pacote do que em quem o mantém hoje.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...