Mais de 900 pacotes disponíveis na biblioteca de dados Arch User Repository (AUR) foram comprometidos com um vírus. O objetivo do ataque é se infiltrar em inúmeras máquinas que usam o sistema Arch Linux para roubar senhas e chaves de acesso dos usuários. O responsável do ataque teria se infiltrado discretamente no repositório e ninguém desconfiou.

Conhecido por ser uma biblioteca pública para usuários do Linux, inúmeros arquivos são baixados por meio do AUR. A empresa de segurança digital IFIN descobriu que um agente malicioso se cadastrou na plataforma fingindo ser um desenvolvedor confiável. Com essa identidade falsa, ele colocou os vírus dentro dos programas.

Quando alguém baixa um desses programas infectados e tenta realizar a instalação, um comando escondido começa a rodar em segundo plano. Lá, esse malware se conecta com a internet e baixa a real ameaça do ataque, um infostealer chamado de “atomic-lockfile”. O alvo? Computadores de programadores.

O pesquisador de segurança independente Thanos analisou esse malware e descobriu que ele tem um caráter duplo. Esse vírus, por assim dizer, carrega um arquivo executável que não somente rouba as senhas e credenciais da vítima, como também usa uma tecnologia avançada para se esconder profundamente no sistema operacional sem ser detectado.

Por que essa ameaça no Arch é tão séria?

Embora o comprometimento de arquivos seja algo relativamente comum hoje em dia, esse caso do AUR levanta sérias preocupações. O Arch User Repository serve como uma espécie de loja para que os usuários cadastrados possam enviar e baixar pacotes de arquivos. Estima-se que pouco mais de 5 milhões de pessoas usam o Arch Linux em suas máquinas.

Tecnicamente, isso também acontece em marketplaces como a Play Store e até mesmo a Steam. No entanto, no AUR qualquer um pode fazer quase qualquer coisa. Como não há nenhuma empresa, entidade ou consórcio por trás desse repositório, não há uma checagem dos conteúdos publicados nele.

Por mais que seja algo perigoso, a maioria dos usuários não se importa tanto com isso, afinal de contas essa biblioteca contém itens que não estão em repositórios oficiais. O malware afeta primordialmente quem usa a distro Arch Linux, popular entre programadores, desenvolvedores e outros profissionais.

O mais interessante é que esses mais de 900 pacotes infectados não foram comprometidos por um hacker, necessariamente. Esse atacante simplesmente usou um método de falsificação, ao se passar por alguém, e entrou na plataforma. Todavia, essa não foi a única forma que criminosos encontraram para espalhar esse malware.

A empresa de segurança Sonatype aponta que em vez de criar um perfil falso, esse atacante também procurou por programas infectados pelos seus criadores. No AUR é comum que softwares abandonados sejam “resgatados” por outros desenvolvedores. Esse agente assumiu o controle desses pacotes e inseriu os vírus, como uma armadilha calculada. Confira abaixo os dados que o malware procura:

• Credenciais do GitHub;
• Artefatos de SSH;
• Tokens do HashiCorp Vault;
• Bancos de dados de cookies de navegador;
• Dados do Slack;
• Dados do Discord;
• Dados do Microsoft Teams;
• Dados do Telegram.

Os membros responsáveis por manter o Arch User Repository trabalham para identificar e remover todos esses pacotes maliciosos. Um desses membros, Jonathan Grotelüschen, pediu para que os demais usuários reportassem quaisquer downloads suspeitos. A recomendação é trocar todas as suas credenciais e reinstalar o Arch do zero.

Por falar em vírus, o malware Miasma começou a veicular no Github e já se transformou em uma perigosa arma para atos cibercriminosos. TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.