É bem conhecido que o paraíso dos entusiastas do Linux não é completamente seguro. Recentemente, um Remote Access Trojan (RAT) foi encontrado em pacotes maliciosos no Arch User Repository (AUR), servindo como um lembrete urgente: nunca confie cegamente em pacotes de repositórios comunitários.
Os pacotes em questão — librewolf-fix-bin, firefox-patch-bin e zen-browser-patched-bin — foram enviados por um usuário chamado “danikpapas” e pareciam inofensivos. Afinal, quem desconfiaria de supostos patches para navegadores? Mas, uma vez instalados, eles executavam um script que baixava o CHAOS RAT, um malware que concede controle total do sistema a um invasor.
O que o CHAOS RAT pode fazer?
O CHAOS RAT não é um simples vírus de computador que exibe anúncios irritantes. Ele é uma ferramenta poderosa que permite:
- Acesso remoto completo, inclusive via shell reverso;
- Roubo de arquivos com o upload e download de dados sem permissão;
- Monitoramento em tempo real, com captura de tela e espionagem de atividades;
- Execução de comandos arbitrários, desde desligar o PC até instalar outros malwares.
E o que torna tudo um tanto engraçado é que ele é open-source, o que significa que qualquer pessoa com más intenções pode modificá-lo e distribuí-lo livremente.
Felizmente, a equipe do Arch Linux agiu rápido. Os pacotes foram removidos em dois dias (16 a 18 de julho de 2025), mas isso não significa que todos os usuários estão seguros. Se você utiliza Arch Linux ou alguma distribuição baseada nele (como Manjaro ou EndeavourOS), é bom verificar se não instalou nenhum desses pacotes acidentalmente.
Para checar, execute no terminal:
pacman -Qs librewolf-fix-bin firefox-patch-bin zen-browser-patched-binSe algum deles aparecer, remova imediatamente com:
sudo pacman -Rns Como se proteger
O AUR é incrível, mas também é um território selvagem. Algumas dicas para evitar sustos:
- Verifique sempre o mantenedor do pacote. Usuários novos ou sem histórico são bandeiras vermelhas;
- Leia os comentários e avaliações. Se ninguém comentou ou há relatos suspeitos, evite;
- Prefira pacotes oficiais sempre que possível. Snap, Flatpak e até mesmo compilações manuais podem ser mais seguros;
- Monitore processos suspeitos. Ferramentas como htop ou netstat podem ajudar a identificar atividades incomuns.
Se você foi infectado, a situação é séria. Um RAT pode ter coletado senhas, dados bancários e até mesmo monitorado suas atividades. Recomenda-se mudar todas as senhas (de preferência em outro dispositivo), verificar contas bancárias e e-mails em busca de acessos suspeitos e considerar uma reinstalação limpa do sistema para garantir que o malware foi completamente removido.
No fim das contas, o Linux ainda é seguro, mas nenhum sistema é invulnerável quando o usuário dá permissões de administrador durante a instalação de um pacote infectado.Mostre ao mundo seu amor por Linux e tecnologia: visite nossa loja e vista a camisa do pinguim!
