Ataque afeta repositório AUR
Um ataque de cadeia de suprimentos comprometeu mais de 400 pacotes do Arch User Repository (AUR) entre 10 e 11 de junho de 2026, injetando scripts maliciosos que instalaram um infostealer e rootkit em sistemas Linux. A campanha, batizada de “Atomic Arch” por pesquisadores, é considerada um dos maiores incidentes já registrados no AUR. O invasor assumiu o controle de pacotes órfãos — projetos abandonados pelos mantenedores originais — e modificou os arquivos PKGBUILD para executar cargas maliciosas durante o processo de instalação.
Como o ataque foi executado
O atacante utilizou a conta “arojas” para adotar 408 pacotes órfãos no AUR por meio do processo padrão de adoção do repositório. Uma vez no controle, alterou os scripts PKGBUILD de cada pacote para baixar silenciosamente dois pacotes npm maliciosos: atomic-lockfile e js-digest. Esses pacotes funcionavam como mecanismo principal de entrega do malware, executando-se durante o processo normal de compilação sem gerar alertas visíveis ao usuário.
Após a instalação, o malware realizava uma extração em múltiplas etapas de dados sensíveis, incluindo credenciais de navegadores Chromium e Firefox, chaves SSH privadas, variáveis de ambiente com tokens de API e dados de carteiras de criptomoedas. Além do roubo de dados, o malware empregava técnicas de persistência no estilo rootkit — especificamente um rootkit baseado em eBPF — disfarçando seus processos ativos como threads legítimas do kernel para evadir ferramentas como ps e htop.
| Componente | Função | Alvo |
|---|---|---|
| atomic-lockfile (npm) | Pacote de entrega inicial | Sistemas Arch Linux via AUR |
| js-digest (npm) | Pacote de entrega complementar | Sistemas Arch Linux via AUR |
| Infostealer (ELF binary) | Roubo de credenciais e tokens | Navegadores, SSH, API keys, wallets |
| eBPF rootkit | Persistência e ocultação | Process monitoring tools (ps, htop) |
Resposta da equipe Arch Linux
A equipe de segurança do Arch Linux reagiu rapidamente após a denúncia publicada na lista de discussão do AUR. Mantenedores reverteram os commits maliciosos nos PKGBUILDs, baniram permanentemente as contas do atacante e publicaram uma lista detalhada de todos os pacotes afetados para que a comunidade pudesse verificar seus sistemas.
Os repositórios oficiais do Arch — [core], [extra] e [multilib] — não foram afetados, pois possuem processos de revisão mais rigorosos. O incidente, porém, evidencia vulnerabilidades estruturais no modelo de confiança comunitária do AUR, especialmente em relação à adoção de pacotes órfãos com bases de usuários já estabelecidas. Esse padrão de ataque segue uma tendência crescente de ataques de cadeia de suprimentos contra repositórios de pacotes, similar ao que ocorreu recentemente com pacotes npm no GitHub. Outro caso análogo foi a campanha Hades que comprometeu 37 pacotes do PyPI com malware.
O que usuários devem fazer
Usuários que instalaram pacotes do AUR entre 10 e 12 de junho de 2026 devem tomar medidas imediatas:
- Executar
pacman -Qmpara listar todos os pacotes AUR instalados e confrontar com a lista oficial de pacotes comprometidos - Auditar o histórico recente de PKGBUILDs dos pacotes instalados no período
- Rotacionar todas as credenciais — senhas de navegadores, chaves SSH, tokens de API e chaves de acesso à nuvem — caso algum pacote afetado tenha sido instalado
- Verificar processos suspeitos disfarçados como threads do kernel com ferramentas como
rkhunterouchkrootkit - Utilizar helpers do AUR com revisão de PKGBUILD habilitada por padrão, como
yay --editmenu