Más de 400 paquetes en el repositorio Arch Linux distribuyen un rootkit y un troyano

Un informe de la comunidad de inteligencia de código abierto Independent Federated Intelligence Network (IFIN) señala que un nuevo mantenedor está suplantando la identidad de un editor de confianza en la plataforma AUR para distribuir paquetes infectados. Esto solo afecta a los paquetes del repositorio de usuarios (AUR). Los paquetes oficiales de Arch Linux no se han visto comprometidos en ningún momento.

AUR es un repositorio mantenido por la comunidad para la distribución Arch que contiene scripts de compilación de paquetes (PKGBUILD) con instrucciones para descargar, compilar e instalar software no disponible en los repositorios oficiales de Arch.

AUR se considera esencial para cualquier distribución basada en Arch porque contiene aplicaciones propietarias, versiones beta/nightly de software de código abierto, utilidades especializadas y versiones antiguas de paquetes que conservan funcionalidades que podrían haber sido eliminadas en versiones posteriores. Sin embargo, no se trata de un espacio verificado, y los ciberdelincuentes pueden usarlo para distribuir malware a través de paquetes que cambian de propietario sin que nadie se dé cuenta.

La empresa de gestión de la cadena de suministro Sonatype publicó un informe sobre una campaña dirigida al repositorio AUR y que distribuía el paquete malicioso atomic-lockfile de npm, pero utilizando un método diferente. Los investigadores de Sonatype afirman que el atacante secuestró al menos 20 paquetes huérfanos en AUR e distribuyó atomic-lockfile modificando el archivo PKGBUILD, un script de Bash con la información de compilación necesaria para los paquetes de Arch Linux.

Según el informe, el atacante añadió un script posterior a la instalación para invocar npm y descargar el paquete malicioso. "Los paquetes modificados añaden un script posterior a la instalación que invoca npm e instala atomic-lockfile durante la instalación del paquete", explica Sonatype.

Como regla general, se recomienda confiar únicamente en proyectos con actualizaciones frecuentes y una comunidad activa. Se aconseja a los usuarios de Arch que revisen la lista de paquetes afectados y busquen los indicadores de compromiso que se mencionan en el informe de Whanos.  

Referencias

https://www.muylinux.com/2026/06/12/malware-en-aur-arch-linux-cachyos/

https://www.linuxadictos.com/aur-sufre-una-nueva-campana-de-malware-que-afecta-a-multiples-paquetes.html