Tras la campaña de malware detectada la semana pasada, Arch Linux ha dado un paso más en las tareas de contención y limpieza, bloqueando el registro de nuevas cuentas en AUR, que queda desactivado por el momento.

Según el aviso publicado en las listas de correo de AUR, la medida responde al «actual influjo de paquetes maliciosos subidos a AUR» y se mantendrá mientras trabajan en la limpieza. Es decir, no se trata de un cierre de AUR como tal, sino de bloquear una de las vías de entrada que podían seguir aprovechando los atacantes.

Se bloquea así una campaña de adopciones y actualizaciones maliciosas que habría abusado, entre otros elementos, del sistema de paquetes huérfanos: paquetes sin mantenimiento activo que podían ser adoptados por nuevas cuentas y recibir cambios aparentemente legítimos, pero con instrucciones destinadas a descargar o ejecutar código malicioso durante el proceso de compilación o instalación.

La otra novedad relevante está en el alcance del incidente, y es que si en un principio se hablaba de más de 400 paquetes afectados, una cifra ya considerable, la lista provisional se acerca peligrosamente a las 2.000 entradas, a falta de que el recuento final quede cerrado. Ojo: aparecer en la lista no significa que el paquete haya sido instalado, pero el número da una idea de la dimensión del problema.

En este sentido, la recomendación para quienes usen AUR no cambia, aunque cabe insistir en ello: revisar los PKGBUILD y los scripts de instalación antes de actualizar, comprobar el historial reciente de los paquetes instalados y prestar especial atención a cambios de mantenedor, adopciones recientes o dependencias nuevas que no tengan una justificación clara. En caso de encontrar un paquete afectado, lo razonable es investigar qué se ejecutó, eliminarlo y valorar medidas adicionales según el caso. Y reportarlo, claro.

Pero, antes de todo esto, habría que valorar bien lo que se necesita: si de verdad es necesario instalar un paquete, cuál es la popularidad —un dato clave, porque cuantos más ojos tenga encima, mejor— del mismo; si se trata de una aplicación que, por ejemplo, está disponible en Flathub…

En cualquier caso, este incidente vuelve a poner sobre la mesa una idea que conviene no olvidar: la seguridad nunca está completamente garantizada y siempre requiere cierto grado de atención por parte del usuario. Incluso tomando precauciones pueden surgir problemas, pero el riesgo aumenta a medida que se incorporan más elementos de terceros al sistema. El esfuerzo es, o debería ser, proporcional: cuanto mayor sea la confianza que deposites en fuentes externas, más importante resulta revisar lo que instalas y mantener una actitud mínimamente activa.

Por otro lado, este episodio también deja una discusión inevitable sobre el futuro de AUR, no porque haya que convertirlo en otra cosa, ya que buena parte de su valor reside precisamente en su apertura, sino porque un incidente de esta escala obliga a revisar ciertos automatismos. La comunidad se ha hecho muy grande y eso ha atraído a las ratas. Pasa siempre.

La entrada Arch Linux bloquea nuevas altas en AUR tras casi 2.000 paquetes afectados es original de MuyLinux