Por si no sabian Arch a sufrido un ataque, un ataque a la cadena de suministro ( supply chain attack), entonces vale la pena entender qué pasó exactamente y cómo nos afecta a los que usamos esta distribución o sus derivadas.
¿Qué fue lo que ocurrió?
Recientemente se detectó una campaña de malware dirigida específicamente a AUR (Arch User Repository). Varios atacantes lograron comprometer y modificar múltiples paquetes mantenidos por usuarios (un ejemplo de los más comentados fue ALVR, aunque se sospecha que hay más implicados).
El modus operandi consistió en alterar los scripts de instalación para que, al momento de compilar o instalar el software, intentaran descargar componentes maliciosos externos utilizando dependencias de npm.
Mantengamos la calma: ¿Qué NO se vio afectado?
- Los repositorios oficiales de Arch (
core,extra, etc.) están completamente limpios y seguros. - Las distribuciones basadas en Arch que usan sus repositorios oficiales tampoco corren peligro por este lado. El problema está acotado única y exclusivamente a AUR.
La respuesta de la comunidad
Los administradores de Arch Linux actuaron rápido: en cuanto se detectó la anomalía, los paquetes sospechosos fueron retirados de la plataforma y las cuentas vinculadas a las modificaciones maliciosas fueron bloqueadas inmediatamente.
El recordatorio de siempre (y que a veces olvidamos)
Este tipo de incidentes no es nuevo, pero nos recuerda por qué se insiste tanto en que AUR es un repositorio comunitario que debe usarse bajo nuestra propia responsabilidad. Los atacantes no hackearon el sistema operativo; abusaron de la confianza y de la automatización de la cadena de suministro.
Si usas AUR mediante algún helper (como yay o paru), recuerda la regla de oro:
- Revisa siempre el PKGBUILD antes de proceder con la instalación.
- Desconfía si ves dependencias extrañas (
npm,curla dominios raros, etc.) que no tengan sentido con el propósito del paquete. - Presta atención si un paquete que tenías tiempo sin actualizar cambia repentinamente de mantenedor.
