Recentemente um pacote malicioso foi encontrado no Arch User Repository (AUR), uma popular comunidade de repositórios do Arch Linux. Este pacote continha um malware conhecido como RAT, ou Remote Access Trojan, um Cavalo de Tróia que permite que invasores controlem um computador remotamente.
Um usuário postou três pacotes falsos no AUR, que baixavam um RAT chamado CHAOS RAT, permitindo-lhe executar comandos, espionar o usuário e instalar outros programas maliciosos. Os pacotes ficaram disponíveis por cerca de dois dias antes de serem denunciados e removidos pelos mantenedores do Arch.
O AUR não é um repositório oficial e, embora seja um ótimo local para encontrar software adicional, exige que o usuário tenha cuidado e inspecione os pacotes antes da instalação.
Mas não é que houve outra intrusão?
Agora, outro pacote malicioso - passando-se pelo Google Chrome - foi encontrado no AUR, intitulando-se “google-chrome-stable”, carregado por uma nova conta e que continha um arquivo de instalação .install que baixava e rodava outro RAT em segundo plano.
Este caso, assim como outros recentes, serve como um alerta para os usuários do Arch Linux sobre a importância de ter cautela ao instalar pacotes do AUR, já que ele é um repositório comunitário e não oficial. Sempre verifique os pacotes antes de instalá-los para garantir a segurança do seu sistema.
Ah, o pacote foi rapidamente denunciado e removido pelos administradores do AUR. Mas o estrago na imagem do AUR já está feito. Se eu fosse os responspaveis pelo ArchLinux, fechava de vez este repositório e abraçava o flatpak e/ou snaps. Nessa hora, com a reputação em jogo, não há espaço para preconceitos…
Não precisa fechar nada. Toda essa bagunça do AUR faz parte do mundo Arch.
O AUR tem um robô que testa todos os pacotes. A questão que poderia melhorar seria a de incluir uma flag no pacote, onde adicionados mais recentes tivessem uma área de quarentena tipo como faz o Debian com os pacotes de comunidade.
SE fosse, e se fizer isso poderia também fechar as portas da distro.
Uma Ferrari que roda com gasolina (agora com 30% de etanol) e/ou adulterada, deixaria de ser uma Ferrari?
A filosofia da distro e nem a distro em si são culpadas por qualquer dano que seja causado por usuários mal intencionados, vamos então remover os programas que se instalam diretamente no Windows (Via .exe) e deixar somente a loja Microsoft disponível e veja o resultado disso.
Eu estava usando o arch dias atrás, eu o atualizei-o e começou a dar “Kernel Panic”, a luz azul do Linux. Se eu reinstala-lo, agora com o Kernel Linux LTS, ele ainda terá esse tipo do problema?
Fechar e pegar pesado.
Isso acontecer e sinal de segurança, até pq o pacote infectado já saiu no mesmo dia
Imagine uma distribuição que nem isso tem e ficar a mercê dessas ameaças instaladas e não saber nem oq é kkkk
Os dois problemas foram com navegadores, acho que deveriam limitar a uma “versão oficial” do AUR para cada aplicativo dos mais famosos, principalmente navegadores, desta forma diminuiria a chance disso acontecer.
Esse assunto é complexo porque envolve filosofias e abordagens bem diferentes. Vamos começar pelo Arch, que segue uma linha mais direta. Quando um pacote do repositório core recebe uma atualização, o Arch recompila todos os pacotes que dependem dele para garantir compatibilidade total com a nova versão. Por isso, às vezes, ao rodar um simples pacman -Syu, você vê dezenas de atualizações, mesmo que apenas um pacote tenha sido efetivamente modificado — o restante foi recompilado por dependência.
No Debian, a lógica é outra. Um pacote pode ser dividido em vários menores, com foco máximo em estabilidade e compatibilidade. O compromisso do Debian é manter tudo funcionando dentro da versão estável, o que exige um controle bem mais criterioso sobre as atualizações e dependências.
Isso torna o processo de empacotamento e manutenção do Debian mais complexo, mas também muito robusto. Arch e Debian seguem caminhos quase opostos: um prioriza simplicidade e liberdade; o outro, previsibilidade e consistência.
Já o Ubuntu busca um equilíbrio entre os dois. Ele se baseia no Debian, adiciona suas próprias customizações e facilita o uso para o público geral. Pode não agradar a todos os perfis, mas cumpre bem seu papel de tornar o Linux mais acessível para quem está começando ou quer algo mais pronto para uso.
