Alat open-source baru bernama Traur, ditulis dalam Rust, membantu pengguna Arch Linux menilai risiko keamanan pada paket AUR sebelum pemasangan. Ia menyediakan penilaian kepercayaan otomatis berdasarkan skrip build, metadata, dan perilaku historis. Alat ini muncul di tengah kompromi paket AUR baru-baru ini, bertujuan meningkatkan kewaspadaan pengguna tanpa menjalankan kode.
Traur, alat open-source yang baru dirilis dan dikembangkan dalam Rust, menargetkan kekhawatiran keamanan di Arch User Repository (AUR) Arch Linux, ekosistem paket yang dikelola komunitas. Diterbitkan pada 8 Februari 2026 oleh Linuxiac, alat ini menganalisis PKGBUILD dan skrip .install untuk ancaman potensial, termasuk perintah shell berisiko, hook mencurigakan, kode tersembunyi, dan pola penyalahgunaan yang diketahui. Ia juga memeriksa URL sumber, penggunaan checksum, aktivitas pemelihara, popularitas paket, nama tidak biasa seperti typosquatting, dan perubahan riwayat git seperti kode jaringan baru atau perubahan penulis. Berdasarkan insiden malware nyata, Traur mendeteksi pola seperti paket browser palsu, skrip instalasi yang mengunduh dan menjalankan kode, pengambilalihan paket yatim, dan metode untuk tetap tersembunyi di sistem. Risiko spesifik yang ditandai mencakup reverse shell, pencurian kredensial, eskalasi hak istimewa, penambangan kripto, pemuatan modul kernel, kebocoran variabel lingkungan, dan pemindaian sistem. Daripada putusan biner, ia menggunakan sepuluh fitur untuk menghasilkan skor risiko yang bernuansa, membantu pengguna mengidentifikasi masalah potensial tanpa secara definitif melabeli paket sebagai berbahaya. Alat ini terintegrasi dengan pembantu AUR seperti Paru dan Yay melalui hook pacman, menampilkan skor kepercayaan selama pemasangan. Pengguna dapat memindai semua paket AUR yang terinstal, paket individu, daftar putih paket tepercaya, atau mengevaluasi pengajuan terbaru. Analisis rata-rata 0,5 milidetik per paket, meskipun mengakses repositori git AUR dapat memperlambatnya. Dirilis di bawah lisensi MIT, Traur tersedia untuk pemasangan langsung dari AUR, dengan detail lebih lanjut di halaman GitHub-nya. Namun, umpan balik awal menyoroti keterbatasan. Salah satu komentator, Michael Butash, melaporkan kegagalan kompilasi dari AUR pada 8 Februari 2026, menyebutnya 'belum siap'. Lainnya, John, mengoreksi klaim artikel tentang pengawasan skrip instalasi, mencatat bahwa deteksi canggih—seperti analisis shell dan pemeriksaan GTFOBins—hanya berlaku untuk PKGBUILD, sementara skrip .install hanya mendapat pencocokan regex dasar. Ia merujuk malware Juli 2025 di paket seperti librewolf-fix-bin, yang menyembunyikan payload di skrip instalasi, dan menyebutkan telah mengajukan isu GitHub tentang celah ini. Traur tidak menggantikan ulasan manual atau sandboxing tetapi menawarkan wawasan berharga sebelum pemasangan, terutama setelah kompromi AUR tahun lalu.
