MalwaresNotícias

Arch Linux: Malware Chaos RAT no AUR. Saiba se proteger.

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:

Um alerta de segurança abala a comunidade Arch Linux. Entenda o que aconteceu e aprenda a se proteger de malwares no AUR.

A comunidade Arch Linux foi recentemente surpreendida por um grave alerta de segurança. Pacotes maliciosos hospedados no Arch User Repository (AUR) foram identificados instalando o malware Chaos RAT, colocando em risco a integridade dos sistemas dos usuários.

Conteúdo

Este artigo detalha como a infiltração aconteceu, explica o funcionamento do Chaos RAT, orienta sobre como verificar se o seu sistema foi comprometido e, sobretudo, oferece um guia de boas práticas para usar o AUR com mais segurança. O objetivo é educar e empoderar a comunidade Linux frente aos desafios crescentes de segurança em ecossistemas open-source.

Embora o AUR seja uma das ferramentas mais poderosas e flexíveis do universo Arch Linux, este incidente reforça um princípio fundamental: com grande poder vem grande responsabilidade — e isso inclui a vigilância ativa do usuário.

Arch Linux com suporte Wine e Wine-Staging via WoW64
Logo do Arch Linux representa a transição dos pacotes Wine e Wine-Staging para WoW64.

O que aconteceu: a infiltração no Arch User Repository

Na primeira semana de julho de 2025, a equipe do Arch Linux foi alertada sobre a presença de três pacotes maliciosos no AUR: “librewolf-fix-bin”, “firefox-patch-bin” e “zen-browser-patched-bin”. Esses pacotes foram publicados por um usuário identificado como “danikpapas”, e continham um código que, durante a instalação, comprometia silenciosamente o sistema do usuário.

Graças à rápida mobilização da comunidade, os pacotes foram removidos prontamente pelo time de moderação do Arch. No entanto, o alerta permanece: usuários que instalaram esses pacotes devem agir com urgência para garantir que seus sistemas não estejam comprometidos.

O vetor de ataque: como o malware era instalado

A tática utilizada para distribuir o malware é um exemplo clássico de abuso do modelo de confiança do AUR. Durante o processo de compilação dos pacotes, o arquivo PKGBUILD incluía uma linha de comando que realizava o download de um script malicioso hospedado no GitHub.

Esse script instalava silenciosamente o Chaos RAT, permitindo ao invasor assumir o controle remoto da máquina, sem qualquer tipo de notificação para o usuário. O uso de repositórios públicos como o GitHub para hospedar cargas maliciosas é uma tática crescente entre cibercriminosos, aproveitando a facilidade de distribuição e a falsa sensação de legitimidade.

A descoberta pela comunidade

Foi a própria comunidade Arch Linux, em especial usuários ativos no Reddit, que soou o alarme. Desconfiando da promoção agressiva dos pacotes em fóruns e grupos, alguns usuários realizaram uma inspeção manual do PKGBUILD e submeteram os arquivos a ferramentas como o VirusTotal. A confirmação veio rapidamente: o conteúdo incluía uma versão do Chaos RAT.

Esse episódio reforça o papel essencial da inteligência coletiva em ecossistemas open-source e serve como inspiração para que mais usuários participem ativamente da moderação e da segurança da comunidade.

Conheça o vilão: o que é o Chaos RAT?

O Chaos RAT (Remote Access Trojan) é um malware de código aberto que permite controle total de sistemas comprometidos. Originalmente publicado no GitHub com finalidades educacionais e de testes de penetração, essa ferramenta frequentemente é abusada por atores maliciosos.

Suas funcionalidades incluem:

  • Execução remota de comandos;
  • Shell reverso;
  • Transferência e exfiltração de arquivos;
  • Instalação de scripts adicionais;
  • Uso de recursos do sistema para mineração de criptomoedas;
  • Controle de periféricos.

Embora sua natureza open-source facilite auditorias, também facilita sua modificação para fins maliciosos, como ocorreu neste caso envolvendo o AUR.

Guia prático: você foi afetado? Como verificar e remover

Se você instalou qualquer um dos pacotes maliciosos identificados, siga este passo a passo prático para verificar seu sistema e remover o malware.

  1. Verifique processos suspeitos:
    • Abra um terminal e execute: bashCopiarEditarps aux | grep systemd-initd
    • Se encontrar um processo chamado “systemd-initd”, é provável que o sistema esteja comprometido.
  2. Verifique o diretório /tmp:
    • Procure o executável malicioso com: bashCopiarEditarls -l /tmp/systemd-initd
    • Se o arquivo existir, remova-o com: bashCopiarEditarsudo rm -f /tmp/systemd-initd
  3. Desinstale os pacotes maliciosos do AUR: bashCopiarEditaryay -Rns librewolf-fix-bin firefox-patch-bin zen-browser-patched-bin
  4. Reinicie o sistema para garantir que o processo malicioso não esteja mais em execução.
  5. Execute uma verificação de segurança adicional usando ferramentas como o chkrootkit, rkhunter ou scanners especializados em Linux.

A lição mais importante: como usar o AUR com segurança

O AUR é uma das grandes vantagens do Arch Linux, mas exige disciplina e cautela. Veja algumas boas práticas para evitar armadilhas:

  • Inspecione o PKGBUILD antes de instalar:
    Use auracle cat ou veja diretamente no site do AUR. Procure por scripts externos ou comandos suspeitos.
  • Verifique os URLs de origem:
    Códigos hospedados em domínios pouco conhecidos ou URLs encurtadas devem ser tratados com desconfiança.
  • Leia os comentários dos usuários no AUR:
    Frequentemente, outros usuários já identificaram comportamentos suspeitos ou avisos importantes.
  • Evite pacotes novos e não populares:
    Se um pacote tem poucos votos, poucos comentários e não possui histórico, redobre a cautela.
  • Prefira ferramentas confiáveis como yay, paru, trizen com validações:
    Muitos AUR helpers permitem examinar PKGBUILD antes da compilação, ativando uma camada extra de segurança.
  • Considere o uso de sandboxes como bubblewrap ou firejail para testar pacotes em ambientes isolados.

Conclusão: a responsabilidade compartilhada no ecossistema open-source

Este incidente envolvendo pacotes maliciosos no AUR do Arch Linux é um lembrete poderoso de que, embora a liberdade e a flexibilidade do open-source sejam virtudes, elas vêm acompanhadas de responsabilidades compartilhadas.

Usuários devem se manter vigilantes, ler e entender o que instalam, e participar da segurança do ecossistema. Desenvolvedores e moderadores devem continuar promovendo a transparência e a rápida resposta.

Ao adotar boas práticas e compartilhar conhecimento, fortalecemos a comunidade e mantemos o AUR como uma ferramenta segura, útil e confiável.

TAGGED:
Compartilhe este artigo
Artigo anterior Imagem com a logomarca do Windows Erro Firewall do Windows (ID 2042): Microsoft admite falha
WindowsNotícias

Erro Firewall do Windows (ID 2042): Microsoft admite falha

Imagem com a logomarca do Windows

Um bug inofensivo, uma comunicação falha. Entenda o erro do ID 2042 no Firewall do Windows e o que fazer.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto