Más de 400 paquetes dentro del **Arch User Repository (AUR)** están distribuyendo activamente un sofisticado rootkit de Linux y malware infostealer. Este extenso compromiso apunta a credenciales críticas y tokens de acceso, representando una grave amenaza para los usuarios avanzados y desarrolladores de **Arch Linux**. ### El Vector de Ataque: Mantenedores Falsificados y Paquetes Maliciosos Informes de la comunidad de inteligencia de código abierto **Independent Federated Intelligence Network (IFIN)** indican que un nuevo mantenedor está suplantando a un editor de confianza en la plataforma **AUR**. Esta táctica les permite inyectar paquetes infectados en el repositorio mantenido por la comunidad. **AUR** es un recurso crucial para los usuarios de **Arch Linux**, ya que proporciona acceso a un vasto catálogo de software, controladores y versiones de kernel que no están disponibles en los repositorios oficiales. Sin embargo, su naturaleza impulsada por la comunidad significa que no es un espacio verificado, lo que lo hace susceptible a ataques a la cadena de suministro donde los cambios de propiedad de paquetes pueden pasar desapercibidos. ### El Malware: `atomic-lockfile` – Un Híbrido de Rootkit e Infostealer Según **Michael Taggart**, miembro de **IFIN**, los paquetes comprometidos se modifican con scripts de preinstalación que descargan y ejecutan un paquete **npm** malicioso llamado `atomic-lockfile`. El investigador de seguridad independiente **Whanos** proporcionó un análisis preliminar, identificando una carga útil **ELF** de Linux llamada `deps` dentro de `atomic-lockfile`. Esta carga útil se describe como un "ladrón de credenciales con capacidades opcionales de rootkit **eBPF** [extended Berkeley Packet Filter] solo para root". El malware está diseñado específicamente para atacar estaciones de trabajo de desarrolladores y entornos de compilación. **Whanos** señala que la funcionalidad de infostealer apunta a una extensa lista de datos sensibles, que incluyen: * Datos de aplicaciones de navegador y **Electron** * Datos de **Slack**, **Microsoft Teams** y **Discord** * Credenciales de **GitHub** * Tokens de **npm** * Tokens de **HashiCorp Vault** * Artefactos de **Docker/Podman** * Claves **SSH** * Material de **VPN** * Historiales de shell * Otros secretos locales de desarrollador La presencia de la tecnología **eBPF** otorga al malware privilegios elevados, lo que le permite ejecutarse dentro del kernel y ocultar eficazmente los procesos locales, lo que hace que la detección y eliminación sean significativamente más difíciles. ### Hallazgos de Sonatype: Paquetes Huérfanos Secuestrados La empresa de gestión de la cadena de suministro **Sonatype** también publicó un informe detallando una campaña similar dirigida al repositorio **AUR**, aunque utilizando un método ligeramente diferente para entregar el paquete **npm** `atomic-lockfile`. Los investigadores de **Sonatype** observaron a los actores de amenazas secuestrando al menos 20 paquetes huérfanos en **AUR**. Los atacantes modificaron el archivo **PKGBUILD** – un script **Bash** que contiene información de compilación para paquetes de **Arch Linux** – para agregar un script post-instalación. Este script invoca **npm** para recuperar e instalar el paquete malicioso `atomic-lockfile` durante el proceso normal de instalación del paquete. El análisis de **Sonatype** confirmó la presencia de un ejecutable de Linux con referencias a un rootkit **eBPF** capaz de ocultar procesos, archivos e interfaces de red. El binario también exhibió capacidades de infostealer, con funcionalidad para archivar datos, manejo de archivos multipartes y cargas **HTTP**, lo que indica un robusto mecanismo de exfiltración. ### Respuesta de la Comunidad y Guía para Usuarios Los mantenedores de **AUR** están trabajando activamente para identificar y eliminar todos los commits maliciosos y prohibir las cuentas asociadas. **Jonathan Grotelüschen**, mantenedor de paquetes de **Arch Linux**, ha instado a la comunidad a informar sobre cualquier paquete sospechoso que encuentren. Para los usuarios de **Arch Linux**, generalmente se recomienda confiar solo en proyectos con actualizaciones frecuentes y una comunidad activa y comprometida. Se aconseja a los usuarios que: * Revisen la lista de paquetes afectados, que se puede encontrar en el informe de **Whanos**. * Busquen indicadores de compromiso (IOCs) proporcionados en los informes. * Utilicen un script, compartido por **Michael Taggart**, que verifica la presencia del malware `atomic-lockfile` en sus sistemas. Si se descubren paquetes comprometidos, los usuarios deben rotar inmediatamente todas las credenciales y considerar seriamente una reinstalación completa de **Arch Linux** desde cero. La naturaleza persistente de un rootkit, especialmente uno que utiliza **eBPF**, significa que puede sobrevivir a los esfuerzos de limpieza estándar, lo que requiere una limpieza completa del sistema para garantizar una remediación total.