Alguns dias atrás malware detectado ou código malicioso no famoso repositório da distro Arch Linux, especificamente no Arch User Repository ou AUR como é conhecido. E não é nada novo, já vimos em outras ocasiões como alguns cibercriminosos atacaram certos servidores onde distribuições Linux e pacotes de software estavam hospedados para modificá-los com algum código malicioso ou backdoors e até mesmo modificaram as somas de verificação para que os usuários não ficassem cientes desse ataque e que eles estavam instalando algo inseguro em seus computadores.
Bem, desta vez estava nos repositórios AUR, então este código malicioso pode ter infectado alguns usuários que usaram este gerenciador de pacotes em sua distro e que continha esse Código malicioso. Os pacotes devem ter sido verificados antes da instalação, pois apesar de todas as facilidades que o AUR oferece para compilar e instalar pacotes facilmente a partir de seu código-fonte, isso não significa que temos que confiar nesse código-fonte. Portanto, todos os usuários devem tomar algumas precauções antes de instalar, especialmente se estivermos trabalhando como administradores de sistemas para um servidor ou sistema crítico ...
De facto, o próprio site da AUR avisa que a utilização dos conteúdos deve ser da responsabilidade do utilizador, que deve assumir os riscos. E a descoberta deste malware prova assim, neste caso Acroler foi modificado em 7 de julho, um pacote que ficou órfão e não tinha mantenedor foi modificado por um usuário chamado xeactor que incluiu um comando curl para baixar um código de script automaticamente de um pastebin, que lançou outro script que, por sua vez, gerou um instalação de uma unidade systemd para que executem outro script posteriormente.
E parece que dois outros pacotes AUR foram modificados da mesma maneira para fins ilícitos. No momento, os responsáveis pelo repo eliminaram os pacotes alterados e deletaram a conta do usuário que o fez, então parece que o resto dos pacotes estarão seguros no momento. Além disso, para tranquilidade dos afetados, o código malicioso incluído não fazia nada realmente sério nas máquinas afetadas, apenas tentava (sim, porque um erro em um dos scripts impediu um mal maior) carregar certas informações do sistema da vítima.