Arch Linux

Ataque à cadeia de suprimentos compromete pacotes do Arch Linux

Recentemente, mais de 400 pacotes do Arch User Repository (AUR) foram comprometidos por atacantes que alteraram seus scripts de construção para instalar um malware projetado para roubar credenciais de desenvolvedores. O malware, um binário em Rust, coleta informações sensíveis, como cookies e tokens de autenticação de navegadores e aplicativos Electron. O ataque não explorou uma falha de software, mas sim o modelo de confiança do AUR, que manteve os nomes e históricos dos pacotes, enquanto apenas as instruções de construção foram alteradas. Os atacantes adotaram pacotes abandonados e enganaram a comunidade ao falsificar metadados de commits. A lista de pacotes afetados continua a crescer, e os usuários que instalaram ou atualizaram pacotes do AUR após 11 de junho devem verificar suas instalações. A remoção do pacote comprometido não é suficiente, pois o malware pode ter instalado um rootkit e um serviço persistente no sistema. A situação é crítica, e os administradores devem agir rapidamente para mitigar os riscos e proteger suas credenciais.

Pacotes do AUR distribuem rootkit e malware para Linux

Mais de 400 pacotes no Arch User Repository (AUR) estão distribuindo um rootkit para Linux e malware infostealer que visam credenciais e tokens de acesso. Um novo mantenedor está se passando por um publicador confiável na plataforma AUR para inserir pacotes infectados. O AUR é um repositório mantido pela comunidade, essencial para usuários do Arch Linux, pois oferece versões atualizadas de software e utilitários não disponíveis nos repositórios oficiais. No entanto, por não ser um espaço verificado, ele pode ser explorado por agentes maliciosos. Os pacotes comprometidos contêm scripts que baixam e executam um pacote npm malicioso chamado atomic-lockfile, que possui capacidades de rootkit e é projetado para ambientes de desenvolvimento. Ele visa dados de aplicativos como Slack, Microsoft Teams, e credenciais do GitHub, além de permitir a exfiltração de informações sensíveis. A equipe de manutenção do AUR está trabalhando para remover os pacotes maliciosos e recomenda que os usuários verifiquem os pacotes afetados. É aconselhável que os usuários do Arch Linux revisem suas credenciais e considerem reinstalar o sistema caso encontrem pacotes comprometidos.

Vulnerabilidade de escalonamento de privilégios no Linux afeta Arch Linux

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

Arch Linux Confirma Ataque DDoS de Uma Semana em Seu Site e Repositórios

Desde 20 de agosto de 2025, usuários do Arch Linux têm enfrentado degradação de serviços devido a um ataque de negação de serviço (DDoS) que afetou o site principal, o Arch User Repository (AUR) e os fóruns da comunidade. O ataque resultou em dificuldades de conectividade, com resets iniciais de TCP SYN, embora algumas conexões consigam ser estabelecidas. A equipe de DevOps, composta por voluntários, está trabalhando em conjunto com o provedor de hospedagem para mitigar os efeitos do ataque e está avaliando opções de proteção DDoS a longo prazo. Durante a interrupção, alternativas e espelhos estão disponíveis para que os usuários possam acessar os serviços. A equipe também está preservando logs e dados forenses para uma divulgação pública futura. Atualizações regulares sobre o status da recuperação serão publicadas no site oficial do Arch Linux.