Mais de 900 pacotes do Arch User Repository (AUR) foram infectados por um malware. O objetivo do ataque é comprometer diversas máquinas que utilizam o Arch Linux para furtar senhas e chaves de acesso dos usuários. O autor do ataque teria se infiltrado no repositório de forma discreta e sem levantar suspeitas.
Conhecido como uma biblioteca pública para usuários do Linux, muitos arquivos são baixados via AUR. A empresa de segurança digital IFIN identificou que um agente malicioso criou uma conta na plataforma se passando por um desenvolvedor confiável. Com essa identidade falsa, ele inseriu o malware dentro dos pacotes.
smart_display
Vídeos em destaque
Ao baixar e instalar um desses pacotes infectados, um comando oculto começa a rodar em segundo plano. Esse componente conecta-se à internet e baixa a ameaça principal, um infostealer chamado “atomic-lockfile”. O alvo são os computadores de desenvolvedores.
O pesquisador independente Thanos analisou o malware e concluiu que ele atua em duas frentes. O código carrega um executável que não só rouba senhas e credenciais, como também utiliza técnicas avançadas para se ocultar e persistir no sistema sem ser detectado.
Por que a ameaça no Arch é tão grave?
Embora a contaminação de pacotes seja relativamente comum hoje em dia, o caso do AUR levanta preocupações sérias. O Arch User Repository funciona como uma espécie de loja onde usuários cadastrados podem enviar e baixar pacotes. Estima-se que pouco mais de 5 milhões de pessoas utilizem o Arch Linux em seus computadores.
Tecnicamente, situações parecidas ocorrem em marketplaces como a Play Store e a Steam. No entanto, no AUR qualquer pessoa tem ampla liberdade para publicar. Sem uma empresa ou entidade por trás do repositório, não existe uma verificação rigorosa dos conteúdos enviados.
Por mais que represente um risco, muitos usuários não dão tanta importância ao problema, já que o AUR contém pacotes que não estão nos repositórios oficiais. O malware afeta principalmente quem usa a distribuição Arch Linux, popular entre programadores, desenvolvedores e outros profissionais.
Curiosamente, os mais de 900 pacotes infectados não foram necessariamente violados por um hacker no sentido clássico. O atacante simplesmente usou métodos de falsificação de identidade para entrar na plataforma. Além disso, essa não foi a única forma usada para propagar o malware.
A empresa de segurança Sonatype aponta que, em vez de apenas criar um perfil falso, o atacante também buscou pacotes deixados pelos próprios criadores. No AUR é comum que softwares abandonados sejam “resgatados” por outros desenvolvedores. Esse agente assumiu o controle desses pacotes e inseriu o malware, como uma armadilha planejada. Confira abaixo os dados que o malware procura:
- Credenciais do GitHub;
- Artefatos de SSH;
- Tokens do HashiCorp Vault;
- Bancos de dados de cookies de navegador;
- Dados do Slack;
- Dados do Discord;
- Dados do Microsoft Teams;
- Dados do Telegram.
Os mantenedores do Arch User Repository estão trabalhando para identificar e remover todos os pacotes maliciosos. Um deles, Jonathan Grotelüschen, pediu que os demais usuários reportem quaisquer downloads suspeitos. A recomendação é trocar todas as suas credenciais e reinstalar o Arch do zero.
Falando em malwares, o Miasma começou a circular no GitHub e já se tornou uma ferramenta perigosa para crimes cibernéticos. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
