Ataque a pacotes do Arch User Repository entrega malware tipo rootkit

15 de junho de 2026

Aprofundamento CEVIU

Aprofundamento

O Atomic Arch não é só mais um ataque a dependências: é uma exploração direta da governança do AUR. Atacantes não criaram pacotes falsos, adotaram 1.500+ projetos órfãos com histórico legítimo, mantiveram os nomes e commits antigos (inclusive forjando assinaturas Git), e só alteraram o PKGBUILD para injetar npm install atomic-lockfile ou bun install. O payload final é um binário Rust que carrega um eBPF rootkit via scales.bpf.c, escondendo processos com getdents64(), bloqueando depuradores com PTRACE_SEIZE e extraindo dados de ~/.mozilla/firefox/, ~/.ssh/, /proc/sys/crypto/, /run/user/*/keyring/ e até carteiras de criptomoedas como Ledger Live.

O risco real está na cadeia de confiança: o AUR não tem revisão humana pré-instalação, e o processo de adoção de pacotes órfãos exige apenas uma solicitação pública e 24h de silêncio da comunidade. Nada impede que um atacante monitore repositórios abandonados por semanas, espere o momento certo e assuma a manutenção com credenciais limpas, exatamente o que aconteceu aqui. Esse modelo de confiança implícita, não verificada, é o vetor principal.

Por que isso importa

Empresas que usam Arch Linux em ambientes de desenvolvimento ou CI/CD estão expostas sem saber: um único paru -Syu pode instalar o rootkit. O eBPF roda no kernel, então ferramentas tradicionais de EDR ou AV não detectam o payload nativo, ele simplesmente não aparece em ps, ls ou netstat. Pior: o malware coleta tokens de HashiCorp Vault, GitHub App, Slack e Microsoft Teams, permitindo acesso persistente a pipelines, repositórios e chats corporativos. Não é só sobre máquinas comprometidas. É sobre contas de serviço invadidas, com privilégios que nem o sysadmin tem.

Perguntas frequentes

Como saber se meu sistema foi afetado?

Rode pacman -Qm para listar todos os pacotes AUR instalados. Compare contra a lista oficial de pacotes comprometidos publicada pela equipe do Arch em 14/06/2026. Se houver correspondência, seu sistema deve ser considerado comprometido, mesmo que você tenha removido o pacote. Verifique também journalctl -u systemd-bpf* | grep -i 'scales' e busque por /tmp/.atomic_* ou /var/tmp/.lockfile_*.

Remover o pacote AUR resolve o problema?

Não. O payload eBPF é instalado em uma etapa separada, durante a execução do preinstall do npm/bun. Ele grava arquivos no /lib/modules/$(uname -r)/extra/, pinando mapas BPF no /sys/fs/bpf/. A remoção do pacote AUR não desinstala o rootkit. É necessário reiniciar, limpar mapas BPF com bpftool map dump, remover módulos com rmmod scales_bpf e revogar todas as credenciais expostas.

Por que o uso de Bun na segunda onda é preocupante?

Bun não é monitorado por scanners de segurança como o npm audit ou Snyk. Ele ignora package-lock.json e executa scripts de instalação sem avisos. Isso permite que o atomic-lockfile passe despercebido em pipelines que só escaneiam dependências npm. Além disso, Bun usa um runtime V8 modificado, o payload Rust foi compilado especificamente para essa ABI, aumentando a taxa de sucesso da injeção.

Os repositórios oficiais do Arch (core, extra) foram atingidos?

Não. Os repositórios oficiais exigem revisão manual por Trusted Users (TUs) e build em ambientes isolados. O Atomic Arch só atingiu o AUR, que é inteiramente comunitário, sem gatekeeping técnico pré-instalação. Isso reforça que o risco não está no código-fonte, mas no processo de adoção de pacotes órfãos, que não exige verificação de identidade ou histórico de contribuições.

Fontes

sonatype.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 15 de junho de 2026
Editoria: CEVIU Segurança da Informação