BR-Linux.org

Em novo capítulo da campanha internacional de comprometimento de repositórios de software, mais de 400 pacotes no ecossistema Arch Linux foram adulterados com um rootkit oculto e um malware focado em roubo de credenciais.

O comprometimento foi no AUR (Arch User Repository), onde invasores assumiram a responsabilidade por pacotes órfãos, e usaram esse acesso para modificar seus arquivos PKGBUILD, injetando de forma automatizada uma dependência maliciosa (chamada atomic-lockfile, e correspondendo ao malware) durante o processo de instalação.

O AUR é um repositório mantido pela comunidade da distribuição Arch, e contém scripts de construção de pacotes (PKGBUILDs) com instruções para baixar, compilar e instalar software não disponível nos repositórios oficiais do Arch, tais como aplicativos proprietários, versões beta, utilitários de nicho e versões mais antigas de pacotes que retêm funcionalidades que podem ter sido removidas em versões posteriores.

Este ataque é mais um exemplo da série que vem expondo os limites (em termos de exposição a riscos) do modelo de governança comunitária de repositórios open source. Ao maliciosamente herdar a confiança histórica de softwares legítimos que foram abandonados por mantenedores anteriores, os cibercriminosos conseguiram enganar as ferramentas de detecção convencionais.

No campo estritamente técnico, a infecção ocorre por meio de scripts de pós-instalação que invocam o gerenciador de pacotes npm para rodar o executável malicioso. A ameaça se destaca por utilizar tecnologia eBPF (extended Berkeley Packet Filter), injetando código diretamente no kernel do Linux com privilégios elevados.

O rootkit atua interceptando chamadas de sistema para camuflar processos, arquivos e conexões de rede do sistema afetado. Adicionalmente, ele usa técnicas para tentar impedir análises de segurança, e possui rotinas focadas em colher chaves SSH, credenciais de nuvem (como AWS e GCP) e de VPNs, histórico da shell, cookies de navegadores e outras informações sensíveis.

Se você usa o Arch e o AUR, este script pode ajudar a verificar se você instalou a versão infectada de algum dos pacotes comprometidos.

Referência: Over 400 Arch Linux packages compromised to push rootkit, infostealer

Atualização: troquei a URL do script de verificação, por uma versão mais recente e que se auto-atualiza conforme a lista de pacotes confirmados como estando comprometidos aumenta.