Mais de 400 pacotes no **Arch User Repository (AUR)** estão distribuindo ativamente um sofisticado rootkit Linux e malware infostealer. Este extenso comprometimento visa credenciais críticas e tokens de acesso, representando uma séria ameaça para usuários avançados e desenvolvedores do **Arch Linux**. ### O Vetor de Ataque: Mantenedores Falsificados e Pacotes Maliciosos Relatórios da comunidade de inteligência de código aberto **Independent Federated Intelligence Network (IFIN)** indicam que um novo mantenedor está se passando por um publicador confiável na plataforma **AUR**. Essa tática permite que eles injetem pacotes infectados no repositório mantido pela comunidade. O **AUR** é um recurso crucial para usuários do **Arch Linux**, fornecendo acesso a um vasto catálogo de software, drivers e versões de kernel não disponíveis nos repositórios oficiais. No entanto, sua natureza impulsionada pela comunidade significa que não é um espaço verificado, tornando-o suscetível a ataques à cadeia de suprimentos onde mudanças de propriedade de pacotes podem passar despercebidas. ### O Malware: `atomic-lockfile` – Um Híbrido de Rootkit e Infostealer De acordo com **Michael Taggart**, membro da **IFIN**, os pacotes comprometidos são modificados com scripts de pré-instalação que baixam e executam um pacote **npm** malicioso chamado `atomic-lockfile`. O pesquisador de segurança independente **Whanos** forneceu uma análise preliminar, identificando um payload **ELF** Linux chamado `deps` dentro do `atomic-lockfile`. Este payload é descrito como um "roubador de credenciais com capacidades opcionais de rootkit **eBPF** [extended Berkeley Packet Filter] apenas para root". O malware é projetado especificamente para atingir estações de trabalho de desenvolvedores e ambientes de build. **Whanos** observa que a funcionalidade de infostealer visa uma extensa lista de dados sensíveis, incluindo: * Dados de navegadores e aplicativos **Electron** * Dados de **Slack**, **Microsoft Teams** e **Discord** * Credenciais do **GitHub** * Tokens do **npm** * Tokens do **HashiCorp Vault** * Artefatos do **Docker/Podman** * Chaves **SSH** * Material de **VPN** * Históricos de shell * Outros segredos locais de desenvolvedor A presença da tecnologia **eBPF** concede ao malware privilégios elevados, permitindo que ele seja executado dentro do kernel e oculte efetivamente processos locais, tornando a detecção e remoção significativamente mais desafiadoras. ### Descobertas da Sonatype: Pacotes Órfãos Sequestrados A empresa de gerenciamento de cadeia de suprimentos **Sonatype** também publicou um relatório detalhando uma campanha semelhante visando o repositório **AUR**, embora usando um método ligeiramente diferente para entregar o pacote **npm** `atomic-lockfile`. Pesquisadores da **Sonatype** observaram atores de ameaças sequestrando pelo menos 20 pacotes órfãos no **AUR**. Os atacantes modificaram o arquivo **PKGBUILD** – um script **Bash** contendo informações de build para pacotes do **Arch Linux** – para adicionar um script de pós-instalação. Este script invoca o **npm** para recuperar e instalar o pacote malicioso `atomic-lockfile` durante o processo normal de instalação do pacote. A análise da **Sonatype** confirmou a presença de um executável Linux com referências a um rootkit **eBPF** capaz de ocultar processos, arquivos e interfaces de rede. O binário também exibiu capacidades de infostealer, com funcionalidade para arquivamento de dados, manipulação de arquivos em várias partes e uploads via **HTTP**, indicando um mecanismo de exfiltração robusto. ### Resposta da Comunidade e Orientações ao Usuário Os mantenedores do **AUR** estão trabalhando ativamente para identificar e remover todos os commits maliciosos e banir as contas associadas. **Jonathan Grotelüschen**, mantenedor de pacotes do **Arch Linux**, instou a comunidade a relatar quaisquer pacotes suspeitos que encontrarem. Para usuários do **Arch Linux**, geralmente é recomendado confiar apenas em projetos com atualizações frequentes e uma comunidade ativa e engajada. Os usuários são aconselhados a: * Revisar a lista de pacotes afetados, que pode ser encontrada no relatório de **Whanos**. * Procurar por indicadores de comprometimento (IOCs) fornecidos nos relatórios. * Utilizar um script, compartilhado por **Michael Taggart**, que verifica a presença do malware `atomic-lockfile` em seus sistemas. Se pacotes comprometidos forem descobertos, os usuários devem rotacionar imediatamente todas as credenciais e considerar seriamente uma reinstalação completa do **Arch Linux** do zero. A natureza persistente de um rootkit, especialmente um que utiliza **eBPF**, significa que ele pode sobreviver a esforços de limpeza padrão, necessitando de uma limpeza completa do sistema para garantir a remediação total.