A equipe do Arch Linux suspendeu na última segunda-feira (15) a criação de novas contas no Arch User Repository (AUR). A medida foi tomada depois que o número de pacotes comprometidos aumentou durante o fim de semana. O ápice do problema ocorreu no domingo (14), quando uma nova leva de pacotes maliciosos ainda mais sofisticados foi identificada. 

No início, recapitulando, cerca de 400 pacotes enviados por usuários foram apontados como comprometidos. Esse número já havia subido para mais de 900 na sexta-feira (12), quando o TecMundo noticiou o caso pela primeira vez. Durante o fim de semana, a contagem mais que dobrou e chegou a 1.500 pacotes infectados. Foi esse crescimento, somado à descoberta de uma campanha mais elaborada no domingo, que fez a equipe agir.

O que os pacotes maliciosos faziam

Os pacotes comprometidos tentavam instalar dependências hostis escritas em JavaScript. Isso porque parte deles usava bibliotecas do npm, o gerenciador de pacotes do Node.js, identificadas como parte da campanha.

A distribuição principal do Arch Linux não foi afetada. O problema ficou restrito ao AUR, que é separado dos pacotes oficiais e mantido pela comunidade.

Até o momento desta publicação, a criação de novas contas continua suspensa. A equipe não informou uma data para a reabertura dos cadastros. Atualmente o AUR tem pouco mais de 107 mil pacotes. Nos últimos sete dias, 5.586 pacotes foram atualizados e 273 novos pacotes foram adicionados ao repositório.

O que sabemos sobre o caso

Na sexta-feira (12), o TecMundo mostrou que mais de 900 pacotes do AUR foram comprometidos com um infostealer batizado de atomic-lockfire. Basicamente, esse tipo de malware rouba senhas e chaves de acesso de quem instala o pacote infectado.

A empresa de segurança IFIN descobriu que um agente malicioso criou um perfil falso, se passando por um desenvolvedor confiável, e inseriu os vírus dentro dos programas. A empresa Sonatype identificou ainda uma segunda técnica: o atacante também assumiu o controle de pacotes abandonados por seus criadores originais e os infectou.

O malware tinha como alvo principal computadores de programadores. Ele buscava credenciais do GitHub, artefatos de SSH, tokens do HashiCorp Vault, além de dados de cookies, Slack, Discord e Microsoft Teams.

Na época, um dos mantenedores do AUR, Jonathan Grotelüschen, recomendou que os usuários trocassem todas as credenciais e reinstalassem o Arch do zero caso tenham baixado algum pacote suspeito.

Histórico de problemas no Arch Linux

Esse não é o primeiro incidente de segurança do projeto. Em 2025, o Arch Linux já havia sofrido um ataque de negação de serviço distribuído (DDoS), que tirou do ar o site principal, o próprio AUR e os fóruns da comunidade.

Na mesma época, pacotes de navegadores comprometidos com um Remote Access Trojan também foram encontrados no repositório. Os casos recentes reforçam o risco do modelo aberto do AUR, que permite que qualquer pessoa publique pacotes sem checagem prévia.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.