O Arch User Repository (AUR) é um recurso popular para usuários do Arch Linux. Ele hospeda scripts de compilação enviados por usuários para softwares não incluídos nos repositórios oficiais. Embora sua abertura ofereça flexibilidade, ela também introduz vulnerabilidades.
Apenas algumas semanas atrás, o AUR foi atingido por um RAT que se disfarçou dentro de pacotes relacionados ao navegador. Ele infectou sistemas durante o processo de instalação usando um link malicioso do GitHub incorporado no script PKGBUILD.
Agora, um caso semelhante surgiu, onde um novo pacote fingindo ser o Google Chrome foi pego carregando outro script RAT oculto.
O que está acontecendo: Um arquivo chamado google-chrome-stable chegou ao AUR, carregado por uma conta de usuário recém-criada chamada "forsenontop", que não tinha outra atividade além disso.
Segundo o Linuxiac, o pacote usava um script .install para executar um comando Python que baixava e executava código remoto cada vez que o navegador Chrome era iniciado. O código é executado silenciosamente em segundo plano, sem sinais visíveis para o usuário.
Felizmente, o pacote foi rapidamente removido pelos administradores do AUR assim que foi relatado.
E agora: Como anteriormente, se você suspeita de ter sido afetado, execute o seguinte comando para verificar se o pacote malicioso está em seu sistema:
pacman -Qs google-chrome-stable
Se este pacote aparecer em seu sistema, remova-o imediatamente com:
sudo pacman -Rns google-chrome-stable
E, mais uma vez, sempre certifique-se de que seu sistema esteja atualizado e instale apenas pacotes de fontes confiáveis.