Atomic Arch: Como 1.900 Pacotes do AUR Foram Transformados em Armas

Em junho de 2026, um ataque sistemático à cadeia de suprimentos do Arch User Repository (AUR) comprometeu quase 1.900 pacotes mantidos pela comunidade, tornando-se um dos maiores incidentes da história do repositório. Batizada de Atomic Arch por pesquisadores da Sonatype e rastreada como Sonatype-2026-003775 com pontuação CVSS de 8.7, a campanha explorou um mecanismo de confiança legítimo para instalar, de forma silenciosa, um malware ladrão de credenciais e um rootkit em nível de kernel nas estações de trabalho de desenvolvedores .

Escala e Cronograma do Ataque

O que começou como um incidente aparentemente contido rapidamente se transformou em uma contaminação massiva em um único fim de semana.

• 11 de junho de 2026 (Primeira onda): A Sonatype identificou a primeira ofensiva, confirmando cerca de 408 pacotes comprometidos .
• 12 de junho de 2026 (Segunda onda): Uma segunda leva expandiu o ataque. Esforços de consolidação da comunidade e pesquisadores do PrivacyGuides relataram que a contagem havia ultrapassado 1.500 pacotes .
• 14 a 15 de junho de 2026 (Escalada): Análises posteriores da Corgea Research verificaram pelo menos 1.619 nomes de pacotes maliciosos únicos, enquanto o Risky.biz reportou que o número final passava de 1.900 .

A página da campanha no SafeDep e listas consolidadas pela comunidade enumeraram, ao final, 1.937 nomes de pacotes AUR afetados, destacando o alcance colossal do ataque . É fundamental destacar: os repositórios oficiais do Arch Linux (core, extra, community) não foram afetados. Este foi um incidente exclusivo do AUR .

O Método do Ataque: Explorando um Fluxo de Trabalho Baseado em Confiança

O Atomic Arch não foi uma invasão da infraestrutura do Arch. Em vez disso, foi uma exploração cirúrgica do fluxo de trabalho de adoção de pacotes órfãos do AUR, um processo que permite a qualquer membro da comunidade reivindicar a manutenção de pacotes abandonados .

O ataque se desenrolou em duas ondas distintas, com os criminosos refinando sua abordagem para escapar da detecção.

Onda 1: O Gancho via npm (11 de junho)

Os atacantes adotaram sistematicamente pacotes órfãos. Uma vez com privilégios de mantenedores, eles não alteraram o código-fonte do software em si — um movimento que quebraria checksums e soaria alarmes. Em vez disso, modificaram os scripts de construção PKGBUILD para injetar dependências npm maliciosas: atomic-lockfile (v1.4.2) e js-digest (v4.2.2) . Esses pacotes foram configurados para executar automaticamente durante o processo makepkg. Para esconder ainda mais a atividade, o código foi embutido em scripts .install e disfarçado usando divisão de strings de shell, citações mistas e escapes hexadecimais .

Onda 2: A Troca para o Bun (12 de junho)

Apenas um dia depois, uma segunda onda emergiu. Desta vez, os atacantes substituíram o caminho de instalação do npm por um processo de instalação baseado no Bun, usando um pacote malicioso diferente chamado lockfile-js (v1.4.2) . A mudança complicou a detecção, já que muitos dos Indicadores de Comprometimento (IoCs) iniciais focavam no registro npm, e as ferramentas de segurança precisaram ser atualizadas para monitorar o novo runtime e sua dependência .

Ao envenenar apenas as instruções de compilação e não o software em si, os criminosos contornaram as verificações de integridade tradicionais. O código-fonte original parecia limpo, e o malware só era baixado e executado no momento da compilação, tornando-o invisível para usuários que não inspecionassem manualmente os scripts PKGBUILD .

As Cargas Maliciosas: Ladrão de Credenciais e Rootkit

As máquinas que compilaram os pacotes comprometidos recebiam uma carga em dois estágios, projetada para espionagem e persistência.

• Ladrão de Credenciais em Rust: Um binário focado que colhia segredos de desenvolvedores, incluindo sessões de navegador, chaves SSH, tokens do GitHub, tokens do npm, sessões do Slack/Teams, tokens do Vault, credenciais Docker/Podman e chaves de acesso a serviços em nuvem .
• Rootkit eBPF (apenas com privilégios de root): Se o pacote fosse compilado com privilégios de root, o malware instalava um rootkit eBPF capaz de esconder seus próprios arquivos, processos e atividades de rede de ferramentas de detecção padrão como ps e htop. O rootkit usava /sys/fs/bpf/ para persistência, tornando-o excepcionalmente difícil de remover .

A combinação de um ladrão de credenciais com um rootkit em nível de kernel tornou esta uma ameaça severa, particularmente para desenvolvedores, cujas estações de trabalho frequentemente contêm chaves de acesso privilegiadas e dados sensíveis.

A Resposta da Comunidade e dos Desenvolvedores

A comunidade Arch Linux e a indústria de segurança se mobilizaram rapidamente, mas a resposta foi complicada pela escala do ataque.

• Ações da Equipe Arch: Os contribuidores do Arch abriram um tópico consolidado de relatórios do AUR em 11 de junho e começaram o processo de reverter commits maliciosos, banir as contas dos atacantes e limpar o conjunto de pacotes órfãos. O Arch Linux também suspendeu novos registros de contas no AUR na segunda-feira seguinte para prevenir mais abusos . O empacotador do Arch, Jonathan Grotelüschen, confirmou que a equipe estava trabalhando para "restaurar ou deletar todos os commits maliciosos e banir as contas responsáveis" .
• Conflito na Comunidade: O ataque gerou intenso debate. Discussões acaloradas em plataformas como o fórum do PrivacyGuides mostraram alguns membros pedindo o fechamento total do AUR, argumentando que seu modelo baseado em confiança estava fundamentalmente quebrado diante dessa escala de comprometimento .
• Resposta de Terceiros: Empresas de segurança, incluindo Sonatype, Corgea, Cloud Security Alliance (CSA) e TrueSec, publicaram análises detalhadas, Indicadores de Comprometimento (IoCs) e scripts de detecção da comunidade (como o aur-malware-check) para ajudar os usuários a auditar seus sistemas .

Uma fonte significativa de atrito foi que a equipe oficial do Arch não publicou imediatamente uma lista única e canônica de todos os pacotes afetados, forçando os usuários a depender de manifestos de terceiros, como os do SafeDep e da Corgea .

Lições para o Ecossistema Linux

O ataque Atomic Arch expõe fraquezas estruturais em repositórios comunitários baseados em confiança que dependem de manutenção voluntária.

• A Armadilha do Pacote Órfão é um Risco Sistêmico: A capacidade de qualquer usuário adotar e modificar instantaneamente um pacote abandonado, sem verificação de identidade ou revisão de código obrigatória, transformou um recurso de conveniência em um vetor de ataque de alto impacto .
• Injeção em Tempo de Compilação Contorna Verificações de Integridade: Mecanismos de defesa tradicionais dependem da verificação da integridade de tarballs de código-fonte. Como o Atomic Arch envenenou os scripts de compilação em vez da fonte, as somas de verificação padrão não ofereceram proteção .
• Cadeias de Suprimento Entre Ecossistemas são a Nova Fronteira: O ataque usou os registros do npm e do Bun para distribuir malware no ecossistema Linux, provando que um único pacote comprometido em um registro pode ter efeitos em cascata entre plataformas .

O Que Usuários Afetados Precisam Fazer Agora

Pesquisadores de segurança e a orientação da comunidade Arch são unânimes: este não é um caso em que remover um único pacote é suficiente.

1. Assuma um Comprometimento Total: Trate qualquer máquina que tenha compilado ou atualizado um pacote do AUR entre 9 e 12 de junho de 2026 como totalmente comprometida .
2. Reinstale a Partir de uma Mídia Limpa: Uma simples varredura de malware não é confiável porque o rootkit eBPF é projetado para se esconder de ferramentas de detecção. A única remediação garantida é reconstruir o sistema afetado a partir de uma mídia de instalação confiável .
3. Troque Todas as Credenciais Imediatamente: Presuma que o ladrão de credenciais exfiltrou todos os segredos acessíveis na máquina: chaves SSH, tokens do GitHub e npm, tokens do Vault, chaves de acesso à nuvem, sessões de navegador e credenciais do Docker/Podman .
4. Audite o Histórico do AUR: Execute

   pacman -Qm

   para listar todos os pacotes estrangeiros instalados no sistema e faça uma referência cruzada com listas de pacotes maliciosos publicadas pela comunidade .
5. Verifique Indicadores de Comprometimento: Procure por rastros de atomic-lockfile, lockfile-js ou js-digest em caches de compilação, bem como entradas suspeitas em /sys/fs/bpf/ .
6. Trate Isto como um Evento de Resposta a Incidentes: As organizações não devem tratar isso como um simples exercício de varredura. Qualquer estação de trabalho de desenvolvedor Arch ou servidor de CI/build que tenha baixado pacotes do AUR durante a janela do ataque deve ser tratado como um incidente de segurança que requer uma resposta completa .