Un nouvel outil open-source nommé Traur, écrit en Rust, aide les utilisateurs d'Arch Linux à évaluer les risques de sécurité des paquets AUR avant installation. Il fournit une notation de confiance automatisée basée sur les scripts de build, les métadonnées et le comportement historique. L'outil émerge au milieu de récents compromissions de paquets AUR, visant à renforcer la prudence des utilisateurs sans exécuter de code.
Traur, un outil open-source récemment publié développé en Rust, cible les préoccupations de sécurité dans l'Arch User Repository (AUR) d'Arch Linux, un écosystème de paquets maintenu par la communauté. Publié le 8 février 2026 par Linuxiac, l'outil analyse les PKGBUILD et scripts .install pour des menaces potentielles, incluant des commandes shell risquées, des hooks suspects, du code caché et des schémas d'abus connus. Il examine également les URL de source, l'usage de checksums, l'activité du mainteneur, la popularité du paquet, des noms inhabituels comme le typosquatting, et les changements d'historique git tels que du nouveau code réseau ou des changements d'auteur. Inspiré d'incidents réels de malware, Traur détecte des motifs comme des paquets de navigateur faux, des scripts d'installation qui téléchargent et exécutent du code, des prises de contrôle de paquets orphelins, et des méthodes pour rester cachés sur les systèmes. Les risques spécifiques signalés incluent des reverse shells, vol de credentials, escalade de privilèges, minage de cryptomonnaies, chargement de modules kernel, fuites de variables d'environnement, et scans système. Plutôt que des verdicts binaires, il utilise dix fonctionnalités pour générer des scores de risque nuancés, aidant les utilisateurs à identifier des problèmes potentiels sans qualifier définitivement les paquets de malveillants. L'outil s'intègre avec les helpers AUR tels que Paru et Yay via un hook pacman, affichant les scores de confiance lors des installations. Les utilisateurs peuvent scanner tous les paquets AUR installés, des individuels, mettre en whitelist des paquets de confiance, ou évaluer les soumissions récentes. L'analyse moyenne 0,5 milliseconde par paquet, bien que l'accès au dépôt git AUR puisse la ralentir. Libéré sous licence MIT, Traur est disponible pour installation directement depuis l'AUR, avec plus de détails sur sa page GitHub. Cependant, les retours initiaux soulignent des limitations. Un commentateur, Michael Butash, a rapporté des échecs de compilation depuis l'AUR le 8 février 2026, la qualifiant de «non prête». Un autre, John, a corrigé l'affirmation de l'article sur l'examen des scripts d'installation, notant que la détection sophistiquée — comme l'analyse shell et les checks GTFOBins — s'applique seulement aux PKGBUILD, tandis que les scripts .install reçoivent une correspondance regex basique. Il a référencé un malware de juillet 2025 dans des paquets comme librewolf-fix-bin, qui cachait des payloads dans les scripts d'installation, et mentionné avoir ouvert un issue GitHub sur cette lacune. Traur ne remplace pas les revues manuelles ou le sandboxing mais offre des insights précieux pré-installation, surtout après les compromissions AUR de l'année dernière.
