Ataque sostenido al AUR de Arch Linux compromete paquetes huérfanos con malware

Fuentes: AURpocalypse now: a look at the recent AUR attacks

El Arch User Repository (AUR) ha sufrido un ataque prolongado en las últimas semanas, en el que uno o varios atacantes crearon cuentas nuevas, adoptaron paquetes huérfanos y publicaron actualizaciones maliciosas que instalaban malware en los sistemas de los usuarios. Se desconoce el número de usuarios afectados; los responsables del proyecto estuvieron varios días reaccionando paquete por paquete, en una dinámica equiparable al juego del Whac-A-Mole. Como medida inmediata, el proyecto desactivó el registro de nuevos usuarios en el AUR, aunque aún no se ha definido una respuesta a largo plazo.

La vulnerabilidad del AUR se explica por su modelo de colaboración: cualquier persona con una cuenta registrada puede adoptar un paquete huérfano con un solo clic, sin revisión previa ni verificación de identidad. El repositorio, que hoy supera los 107.000 paquetes (unos 14.000 huérfanos) y los 141.000 usuarios registrados, se rige por la premisa de que cada usuario revise los archivos PKGBUILD antes de compilarlos, algo que en la práctica casi nunca ocurre, especialmente al actualizar software ya instalado.

A diferencia de servicios análogos como Copr de Fedora, Open Build Service de openSUSE o las PPA de Ubuntu, el AUR permite además paquetes con binarios precompilados y software privativo, lo que amplía la superficie de ataque. Distribuciones como Fedora usan un entorno de construcción controlado y namespaces de usuario que impiden apropiarse de repositorios abandonados. En el AUR, en cambio, los archivos se mantienen bajo un namespace compartido y la trazabilidad del cambio de mantenedor se basa en la buena fe.

No es la primera vez: en 2018 tres paquetes incorporaron malware de recolección de datos, y en julio de 2024 el mantenedor Quentin Michaud advirtió de otros tres paquetes de navegadores infectados con troyanos de acceso remoto. La cuestión de fondo es si el AUR puede seguir operando sin cambios sustanciales en su modelo de contribuciones.