+400 pacotes AUR foram comprometidos: Atomic Arch

Dia 11 de junho de 2026 (ontem), um atacante assumiu o controle de mais de 400 pacotes do Arch User Repository (AUR) modificando seus scripts de compilação para instalar malware em quem fizesse atualização ou instalação desses pacotes. O caso foi batizado de Atomic Arch.

O que aconteceu?

O AUR permite que qualquer usuário "adote" pacotes órfãos (abandonados pelos mantenedores originais). O atacante se aproveitou disso: assumiu centenas de pacotes e alterou os arquivos PKGBUILD para que, durante a instalação, fosse baixado e executado um pacote npm malicioso.

Duas ondas do ataque:

• 1ª onda: pacote npm atomic-lockfile (executado via npm install no build)
• 2ª onda: pacote js-digest (usando Bun como runtime)

O malware é um binário Linux chamado deps (Rust) que funciona como infostealer + rootkit eBPF.

O que o malware rouba?

O binário vasculha a máquina atrás de:

• GitHub: tokens de acesso, SSH keys
• Navegadores baseados em Chromium: cookies, sessões, tokens
• Slack, Discord, Microsoft Teams, Telegram: tokens de sessão e dados de API
• HashiCorp Vault: tokens
• SSH: chaves privadas, known_hosts
• Docker/Podman: credenciais de registro
• VPN: arquivos .ovpn
• Históricos de shell (bash, zsh, fish)
• npm, OpenAI/ChatGPT: tokens de API

Se executado como root, o malware ativa um rootkit eBPF que se esconde dentro do kernel, escondendo processos, arquivos e sockets de ferramentas de inspeção comuns.

Ele também cria persistência via systemd (como root ou usuário) e envia os dados roubados para um servidor C2 na rede Tor + upload externo via temp.sh.

O que NÃO foi afetado

• Os repositórios oficiais do Arch Linux ([core], [extra], [multilib]) não foram comprometidos
• Apenas pacotes do AUR foram atingidos

Como verificar

Manualmente

# Lista os pacotes AUR instalados
pacman -Qm

Compare a saída com a lista oficial de pacotes comprometidos mantida pela equipe do Arch Linux:

https://md.archlinux.org/s/SxbqukK6IA

Automatizado

Script que compara seus pacotes contra a lista oficial ao vivo:

https://gist.github.com/Kidev/85756c3dcad3623ca5604a8135bafd14

curl -fsSL https://gist.githubusercontent.com/Kidev/85756c3dcad3623ca5604a8135bafd14/raw/check_aur_infected.sh | bash

E se meu sistema estiver infectado?

Caso tenha fé:

• Rotacione TODAS as credenciais: GitHub, SSH, tokens de API, cookies, senhas

Caso contrário:

• Considere reinstalar o Arch: o rootkit eBPF pode sobreviver a tentativas normais de limpeza
• Se o malware foi executado como root, o sistema não pode mais ser confiado sem uma reinstalação completa

Links

• Arch Linux News: comunicado oficial
• Lista oficial de pacotes (Arch Linux HedgeDoc)
• Script de verificação automatizada