Arch Linux AUR afectado por malware que apunta a secretos de desarrolladores

Arch Linux AUR afectado por malware que apunta a secretos de desarrolladores

      Uno de los mayores repositorios de paquetes de código abierto acaba de pasar un fin de semana limpiando después de una campaña de malware que no logró infiltrarse en nada. No necesitaba hacerlo. Los atacantes tomaron el control de más de 1,500 paquetes en el Arch User Repository, o AUR, la colección de software administrada por la comunidad que se encuentra junto a los repositorios oficiales de Arch Linux, y reescribieron silenciosamente sus instrucciones de construcción para instalar un ladrón de credenciales en cualquier máquina que los compilara. Para el lunes, el proyecto había tomado el inusual paso de congelar el registro de nuevas cuentas mientras se limpiaba.

      El número seguía cambiando. Comenzó en alrededor de 400 paquetes, subió a más de 1,500 durante el fin de semana, y una lista de seguimiento nombró 1,579, que Arch mismo describió como “muchos, pero no todos” los afectados. Crucialmente, la distribución central de Arch y sus repos oficiales nunca fueron afectados.

      Un ataque a la confianza, no a un fallo. Lo que hace que esto sea notable es cuán poco hacking estuvo involucrado. El AUR es enviado por usuarios y explícitamente no soportado: Arch les dice a las personas que lean el archivo de construcción de un paquete antes de instalarlo, cada vez. No hay revisión, por diseño.

      El 💜 de la tecnología de la UE. Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora! Los atacantes explotaron exactamente eso. Adoptaron paquetes “huérfanos”, aquellos cuyos mantenedores se habían alejado, heredando los nombres, historias y confianza que esos paquetes habían construido. La firma de seguridad Sonatype, que llamó a la campaña “Atomic Arch”, los encontró suplantando datos de confirmación de git para que los cambios parecieran venir de un mantenedor de larga data. Esa cuenta, un Usuario de Confianza de Arch, más tarde confirmó, nunca fue realmente comprometida.

      Solo la receta de construcción cambió. Los scripts editados incorporaron un paquete npm malicioso, atomic-lockfile, cuyo gancho de instalación ejecutó un binario oculto en el momento en que se construyó el paquete. El software se veía exactamente como lo que los usuarios pretendían instalar. Es la misma lógica detrás del gusano Miasma que afectó a 73 repositorios de Microsoft GitHub: comprometer la confianza, no el código.

      Una trampa construida para desarrolladores. La carga útil, un binario de Rust descompilado por el investigador Whanos, está diseñado para robar específicamente a los desarrolladores, que es el objetivo. Las personas que construyen paquetes AUR son exactamente las personas cuyas máquinas tienen las claves para todo lo demás.

      Recoge cookies del navegador y tokens de sesión, inicios de sesión de Slack, Discord y Microsoft Teams, tokens de GitHub y npm, credenciales de HashiCorp Vault y OpenAI, claves SSH, inicios de sesión de Docker y perfiles de VPN, luego los envía y se comunica a casa a través de Tor. Esas son las credenciales exactas utilizadas para sembrar el próximo ataque a la cadena de suministro, el mismo patrón que la extensión de VS Code envenenada del año pasado que costó a GitHub miles de repos.

      La cobertura temprana exageró un “rootkit” eBPF, y esa parte vale la pena matizar. Como señala The Hacker News, es opcional, solo se carga si el malware ya tiene acceso root, y no se utiliza para obtener acceso. Cuando se ejecuta, oculta el malware y bloquea los depuradores, lo que importa por una razón: si un paquete envenenado se ejecutó con root en tu máquina, eliminarlo no es suficiente. Tienes que reinstalar.

      El costo de una puerta abierta. Nada de esto es nuevo para Arch. Un truco de adopción casi idéntico afectó a un paquete de visor de PDF abandonado en 2018, y en 2025 el proyecto soportó tanto un ataque de denegación de servicio de dos semanas como un conjunto de paquetes de navegador comprometidos que llevaban un troyano de acceso remoto.

      También es parte de un cambio más amplio en 2026. Los atacantes están secuestrando cada vez más proyectos huérfanos y de confianza en lugar de cometer errores tipográficos en nuevos, una táctica que ahora también amenaza a los agentes de codificación de IA que se dirigen a repositorios desconocidos. Con aproximadamente 13,000 paquetes huérfanos aún en el AUR, la superficie de ataque es enorme.

      Los mantenedores de Arch están restableciendo los commits maliciosos y prohibiendo las cuentas, y el consejo para los usuarios no ha cambiado: lee el script de construcción antes de construir, y trata cualquier paquete adoptado recientemente o de repente activo con sospecha. El problema más difícil es estructural. Un repositorio que confía en el nombre y la historia de un paquete sobre quién lo está manteniendo hoy no tiene un parche para eso, solo una decisión sobre cuánto tiempo más permanecerá abierta la puerta.

Otros artículos

Genesis AI apuesta a que las ruedas superan a las piernas en la carrera de robots. Genesis AI apuesta a que las ruedas superan a las piernas en la carrera de robots. Genesis AI presentó a Eno, un robot con ruedas entrenado a través de guantes de sensor de $300, desafiando el consenso humanoide respaldado por Figure AI y Boston Dynamics, que cuentan con $39 mil millones. Ent Security recauda $100 millones para devolver la prevención a lo cibernético Ent Security recauda $100 millones para devolver la prevención a lo cibernético Ent Security, fundada por el equipo de RiskIQ detrás de Microsoft Security Copilot, recaudó $100 millones en una ronda de financiación inicial para llevar la prevención impulsada por IA de vuelta al punto final. Lightbringer recauda $10 millones para reemplazar a las firmas de patentes con IA Lightbringer recauda $10 millones para reemplazar a las firmas de patentes con IA Lightbringer de Suecia recaudó $10 millones para llevar su 'firma de patentes nativa de IA' a EE. UU., apostando a que la IA agente puede reemplazar a los abogados de patentes, no solo asistirlos. Ejecutivos de Big Tech se unen a la Reserva del Ejército a medida que crecen las preocupaciones por el conflicto Ejecutivos de Big Tech se unen a la Reserva del Ejército a medida que crecen las preocupaciones por el conflicto Cloudflare, Sutter Hill y ex-ejecutivos de Reddit se unen al Destacamento 201 del Pentágono, siguiendo a los CTO de Palantir y Meta. Los vigilantes de la ética quieren respuestas. Mobileye lanzará su propio servicio de robotaxi en EE. UU. en 2027 Mobileye lanzará su propio servicio de robotaxi en EE. UU. en 2027 Mobileye lanzará su propio servicio de robotaxi en una ciudad de EE. UU. en 2027, enfrentando al proveedor de conducción autónoma contra los fabricantes de automóviles a los que vende Mobileye Drive. Genesis AI apuesta a que las ruedas superan a las piernas en la carrera de robots Genesis AI apuesta a que las ruedas superan a las piernas en la carrera de robots Genesis AI presentó a Eno, un robot con ruedas entrenado a través de guantes de sensor de $300, desafiando el consenso humanoide respaldado por Figure AI, que cuenta con $39 mil millones, y Boston Dynamics.

Arch Linux AUR afectado por malware que apunta a secretos de desarrolladores

Los atacantes secuestraron más de 1,500 paquetes en el AUR de Arch Linux para plantar un ladrón de credenciales. Los repos oficiales son seguros, pero el modelo de confianza sufrió el impacto.