Campaña de malware en AUR. El Arch User Repository, el repositorio comunitario de Arch Linux y uno de los atractivos tradicionales de la distribución por la gran cantidad de paquetes que contiene, ha sido el escenario de un despliegue de contenido malicioso sin precedentes, aunque se desconoce por el momento el alcance efectivo que pueda haber tenido.

Según recoge Phoronix, AUR ha sido objeto de una campaña de malware a gran escala que habría comprometido más de 400 paquetes. Una situación que los responsables del proyecto llevan desde el jueves trabajando en revertir, eliminando los commits maliciosos y bloqueando las cuentas afectadas, mientras la comunidad comunica los avances en la lista de correo aur-general.

¿Cómo ha sucedido? Al margen de sus ventajas, AUR es un repositorio abierto, no oficial y mantenido por los propios usuarios. No funciona como los repositorios oficiales de Arch Linux y no ofrece las mismas garantías. O, como recuerdan desde CachyOS, una de las comunidades que ha difundido avisos a sus usuarios a raíz del incidente, la única forma segura de usar AUR pasa por revisar cada PKGBUILD.

Y ya sabemos que eso, en la práctica, no siempre se hace. Pero este no es un riesgo exclusivo de AUR: repositorios de terceros o comunitarios, como los PPA de Ubuntu, los repositorios personales de openSUSE u otros mecanismos similares, son igualmente susceptibles a una campaña de este tipo, aunque la popularidad de Arch Linux —con derivadas como la mencionada CachyOS— es sin duda un aliciente.

No es la primera vez que sucede algo así en AUR, aunque sí parece la de mayor alcance. En 2018 ya se detectó un paquete marcado como huérfano que fue modificado para descargar un script desde Pastebin mediante curl e instalar una unidad de systemd con ejecución periódica; tras su descubrimiento aparecieron otros dos casos similares y la comunidad suspendió la cuenta implicada y eliminó los paquetes maliciosos.

Lo que se sabe del ataque

La información recogida en el hilo de Arch Linux apunta a una campaña coordinada y bastante activa. Entre los ejemplos citados aparecen paquetes como exodus-wallet-bin, anythingllm-appimage o arm-linux-gnueabihf-binutils, además de otros reportados posteriormente. En algunos casos se menciona el uso de npm para instalar dependencias sospechosas; en otros, la introducción de paquetes identificados como maliciosos o cambios posteriores en las dependencias que apuntaban al mismo objetivo.

Otro detalle relevante señalado por uno de los mantenedores de Arch es que algunos commits imitaban el nombre y el correo del commit anterior, lo que podía dar una falsa sensación de continuidad o legitimidad al revisar el historial. No estamos, por tanto, ante un paquete aislado colado por despiste, sino ante un ataque amplio contra una vía de distribución especialmente sensible.

Desde CachyOS, una de las distribuciones derivadas de Arch más populares del momento, se ha publicado un aviso para sus usuarios con una lista de paquetes afectados y un pequeño script de comprobación. Ahora bien, el propio aviso insiste en sus limitaciones: se trata de una revisión superficial por nombre de paquete, no aplica ningún remedio, no verifica la integridad del sistema y puede arrojar falsos positivos. Si devuelve resultados, hay que investigarlos.

Qué hacer si usas AUR

La recomendación evidente es no actualizar ni instalar paquetes de AUR a lo loco durante unos días, salvo que se revise con atención lo que se va a ejecutar. Esto implica mirar el PKGBUILD, revisar los cambios recientes y desconfiar de actualizaciones inesperadas, sobre todo en paquetes con cambios recientes que introduzcan descargas o dependencias sin justificación clara.

Quien haya actualizado paquetes de AUR desde el 11 de junio debería comprobar si alguno de ellos está entre los afectados y, en caso de duda, esperar a las indicaciones de Arch o de la distribución que utilice. La lista y el script publicados en CachyOS pueden servir como punto de partida, pero no como garantía de limpieza.

No conviene sacar el asunto de quicio, aunque el incidente es serio. De hecho, es un buen recordatorio de los riesgos de salirse del cerco oficial que proporcionan las distribuciones —léase los repositorios oficiales— sin preocuparse lo más mínimo por comprobar lo que se está haciendo. Una máxima que vale para AUR y para cualquier otro proveedor de software.

La entrada Campaña de malware en AUR (Arch Linux): más de 400 paquetes afectados es original de MuyLinux