O Arch User Repository (AUR) é um dos grandes trunfos do Arch Linux, permitindo que usuários compartilhem e acessem milhares de pacotes não oficiais. Mas, como um baú do tesouro de Davy Jones, ele também pode esconder algumas surpresas desagradáveis. E, nos últimos dias, não foi uma, mas duas vezes que usuários do Arch se depararam com pacotes infectados por RATs (Remote Access Trojans).
O caso do “Google Chrome” falso
Há poucos dias, pacotes maliciosos foram encontrados no AUR, escondidos em scripts de navegadores populares. Agora, o cenário se repetiu: um pacote chamado google-chrome-stable foi carregado por um usuário recém-criado, forsenontop, que não tinha histórico algum na plataforma.
O pacote parecia legítimo, mas escondia um script de instalação que executava um comando Python malicioso antes mesmo do Chrome iniciar. Esse comando baixava e rodava um RAT, dando controle total do sistema a um invasor.
A boa notícia? O pacote foi removido rapidamente após denúncias. A má notícia? Alguns usuários já haviam instalado.
O AUR é um repositório comunitário, o que significa que qualquer um pode contribuir. Isso é ótimo para variedade, mas péssimo para segurança. Basta criar uma conta nova, empacotar algo com um nome convincente (como “google-chrome-stable”) e esperar que usuários desavisados instalem sem verificar.
Navegadores são alvos perfeitos porque:
- São amplamente usados, então há mais chances de vítimas;
- Muitos usuários não questionam pacotes com nomes aparentemente oficiais;
- Scripts de instalação permitem execução de código oculta.
Ou seja, se um pacote parece legítimo e promete algo útil, é fácil cair no golpe.
Se você instalou o google-chrome-stable recentemente, vale rodar:
pacman -Qs google-chrome-stableSe o pacote aparecer, remova imediatamente:
sudo pacman -Rns google-chrome-stableMas, possivelmente, reinstalar o sistema pode ser a única garantia de que o malware foi eliminado.
Liberdade vs. segurança
O AUR é incrível justamente por ser aberto, mas essa abertura também o torna vulnerável. A equipe do Arch não verifica os pacotes, então a responsabilidade acaba caindo sobre os usuários.
Será que está na hora de restringir uploads de contas novas? Ou adicionar verificações automáticas em scripts de instalação? Enquanto isso não acontece, o jeito é ficar esperto, porque, pelo visto, os ataques ao AUR estão longe de acabar.
Não perca as principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!
