A comunidade Linux foi abalada por aquilo que os investigadores estão a chamar de 'Atomic Arch': mais de 400 pacotes do Arch User Repository (AUR) foram sequestrados para distribuir malware. Os atacantes assumiram o controlo de pacotes órfãos e reescreveram os seus scripts de compilação (PKGBUILD) para executar comandos maliciosos durante a instalação — sem que os utilizadores desconfiassem.
A campanha foi detetada pela comunidade Independent Federated Intelligence Network (IFIN) e posteriormente analisada pela Sonatype, que lhe atribuiu o nome 'Atomic Arch'. O ataque explora uma fragilidade conhecida do AUR: ao contrário dos repositórios oficiais do Arch, o AUR é comunitário e não tem curadoria rigorosa — qualquer pessoa pode adotar um pacote órfão e publicar versões aparentemente legítimas.
O AUR é um repositório comunitário essencial para utilizadores de Arch Linux, mas a falta de curadoria torna-o vulnerável a ataques de supply chain
Como funciona o ataque
O modus operandi é enganadoramente simples. Os atacantes identificam pacotes órfãos no AUR — software que o seu mantenedor original abandonou — e candidatam-se como novos mantenedores, fingindo ser mantenedores de confiança. Depois de assumirem o controlo, alteram os ficheiros PKGBUILD para incluir um script pós-instalação que invoca o npm e descarrega um pacote malicioso chamado atomic-lockfile.
O investigador de segurança Whanos, que publicou uma análise detalhada no ioctl.fail, descobriu que o atomic-lockfile contém um binário Linux ELF chamado 'deps' — um ladrão de credenciais completo escrito em Rust. Quando o pacote é instalado com privilégios normais, o binário rouba credenciais e tokens de acesso. Quando é executado como root (o que é comum em instalações de sistema), pode ainda carregar um rootkit eBPF que se esconde no kernel, ocultando processos, ficheiros e interfaces de rede das ferramentas de monitorização.
Duas vagas do mesmo ataque
A Sonatype identificou duas vagas distintas. Numa primeira fase, os atacantes modificaram os PKGBUILD de pelo menos 20 pacotes órfãos para executar npm install atomic-lockfile durante a compilação. Numa segunda vaga, mais agressiva, usaram contas separadas e o comando bun install js-digest para atingir mais de 400 pacotes. A comunidade Arch ligou as contas ao mesmo publisher npm do atomic-lockfile, confirmando tratar-se da mesma campanha.
Os repositórios oficiais do Arch Linux não foram afetados — apenas o AUR comunitário. Mas isso é pouco consolo para quem usa AUR no dia-a-dia. O investigador Michael Taggart (IFIN) disponibilizou um script para verificar se o sistema tem o atomic-lockfile instalado, e a comunidade Arch está a trabalhar para identificar e remover todos os commits maliciosos.
Jonathan Grotelüschen, mantenedor de pacotes Arch Linux, apelou à comunidade que reporte qualquer pacote suspeito encontrado.
O que fazer se foi afetado
Os utilizadores de Arch Linux — e há muitos em Portugal, desde entusiastas a empresas tecnológicas e centros de investigação — devem verificar imediatamente se algum pacote AUR foi instalado ou atualizado desde 11 de junho. O script de verificação está disponível num gist público (github.com/Kidev/59bf9f5fb53ab5eee99f19a6a2fc3992).
Se o sistema estiver comprometido, a recomendação dos especialistas é clara: regenerar todas as credenciais (GitHub, SSH, tokens cloud, passwords de browsers) e considerar reinstalar o sistema a partir do zero. Um rootkit eBPF pode sobreviver a uma limpeza normal e continua a operar invisível no kernel. Para organizações em Portugal que usam Arch Linux em servidores ou ambientes de desenvolvimento, esta é uma chamada de atenção para a necessidade de auditar as dependências de software e validar a proveniência de cada pacote.
Feito por humanos — Portugal Binário
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!