O Arch Linux desativou novos registros de contas no Arch User Repository após várias ondas de atualizações de pacotes maliciosos. A medida ocorre depois que mais de 1.500 pacotes foram comprometidos na semana passada.
O AUR, um repositório mantido pela comunidade para usuários do Arch Linux, enfrentou ataques sucessivos a partir de 11 de junho. Os desenvolvedores identificaram um lote inicial de mais de 1.500 pacotes afetados, vinculados a um pacote npm malicioso chamado js-digest. Ondas subsequentes, nos dias 13 e 14 de junho, usaram diferentes métodos de ofuscação, incluindo strings divididas e detecção local por IA para sinalizar entradas. Essas atualizações inseriram scripts nocivos em pacotes como ferramentas de navegador e applets de desktop. No dia 15 de junho, o membro da equipe Leonidas Spyropoulos anunciou o congelamento de registros para permitir a limpeza. Os repositórios principais do Arch permanecem inalterados. Recomendamos aos usuários que revisem todos os arquivos PKGBUILD antes de realizar atualizações e relatem problemas por meio da lista de discussão aur-general.