Hace ya unos cuatro años desde que me pasé a Manjaro. Parte de la culpa la tuvo Canonical y su tiranía, que entre otras cosas mete sus paquetes snap obligatoriamente. Entre el resto de motivos, puedo decir que simplemente probé otra opción para no publicar tanto sobre Ubuntu y AUR, un repositorio que tiene absolutamente de todo. Se llega a decir que si no está en AUR no existe para Linux. Pero este repositorio es de la comunidad y tiene sus peligros.

En los foros de Manjaro pregunta mucho sobre Arch User Repository, y entre las respuestas solemos encontrar que no está soportado. De hecho, tampoco lo está por Arch Linux. ¿Cómo que no está soportado? Pues es muy sencillo: compatible sí es, o de lo contrario no existiría, pero dejan bien claro que los paquetes los suben colaboradores, y que no se analizan de ninguna manera. Es posible, aunque no muy probable, que pase lo que acaba de pasar.

Firefox y otros navegadores de AUR con malware

A lo largo de esta semana, un usuario subió paquetes maliciosos de firefox-patch-bin, librewolf-fix-bin y zen-browser-patched-bin. Los paquetes son de navegadores con base Firefox, y la terminación -bin suele significar y significa que ya está compilado, con lo que se ahorra tiempo en la instalación. Estos paquetes terminaban instalando un binario de un repositorio de GitHub que terminaba siendo un troyano que daba acceso remoto.

Los administradores de AUR lo descubrieron unas 48 horas después, y tomaron las medidas necesarias. Además, según explican en la nota de aviso, recomiendan eliminar los paquetes de la lista anterior si se habían instalado.

¿Ha cambiado algo?

No. Y es «bueno» que haya pasado. Esto sirve de aviso de lo que puede pasar en AUR, pero también ha habido casos similares en Ubuntu. Por poner unos ejemplos, la Snap Store, propiedad de Canonical, ha visto como se le colaban algunas apps con malware, y un usuario modificó el instalador de Ubuntu para mostrar mensajes ofensivos.

Esto puede pasar en el trabajo colaborativo, cuando algún [inserte su insulto aquí] decide hacer estas cosas. Pero lo bueno que tiene el software de código abierto y su comunidad es que hay muchos ojos mirando, y no es lo más habitual que algo así llegue al usuario final.

Si se analiza el software, suelen elegir programas no muy populares — los populares se analizan más –, llegando al punto de elegir, ya no paquetes de navegadores completos, sino parches que rara vez se instalarán. Firefox está en los repositorios oficiales de la mayoría de distribuciones Linux, y tanto LibreWolf como Zen Browser tienen sus correspondientes paquetes -bin subidos por alguien relacionado con el proyecto.

Esto último es importante. Cuando vamos a instalar un paquete de AUR, merece la pena entrar a los enlaces del desarrollador. Muchas veces son ellos mismos los que suben el paquete. También merece la pena comprobar el nombre del paquete: no es lo mismo zen-browser-bin que el del malware que es un «parch». El de BigScreen es más largo, con una cadena que habría que comprobar en su totalidad para cerciorarse de que se instala el del desarrollador.

En cualquier caso, estamos ante una prueba de que en Linux no se está tan seguro como muchos creen.