SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

13 jun 2026

Segu-Info » , » Más de 400 paquetes en el repositorio Arch Linux distribuyen un rootkit y un troyano

Más de 400 paquetes en el repositorio Arch Linux distribuyen un rootkit y un troyano

13 jun 2026, 10:45:00 p.m.   Comenta primero!
  ,  
ç

Más de 400 paquetes en el Repositorio de Usuarios de Arch (AUR) distribuyen un rootkit de Linux y malware de robo de información que ataca credenciales y tokens de acceso.

Un informe de la comunidad de inteligencia de código abierto Independent Federated Intelligence Network (IFIN) señala que un nuevo mantenedor está suplantando la identidad de un editor de confianza en la plataforma AUR para distribuir paquetes infectados.

La distribución Arch Linux es popular entre usuarios avanzados y desarrolladores, quienes utilizan el catálogo AUR para obtener las últimas versiones del software instalado, los controladores y el kernel.

AUR es un repositorio mantenido por la comunidad para la distribución Arch que contiene scripts de compilación de paquetes (PKGBUILD) con instrucciones para descargar, compilar e instalar software no disponible en los repositorios oficiales de Arch.

AUR se considera esencial para cualquier distribución basada en Arch porque contiene aplicaciones propietarias, versiones beta/nightly de software de código abierto, utilidades especializadas y versiones antiguas de paquetes que conservan funcionalidades que podrían haber sido eliminadas en versiones posteriores.

Sin embargo, no se trata de un espacio verificado, y los ciberdelincuentes pueden usarlo para distribuir malware a través de paquetes que cambian de propietario sin que nadie se dé cuenta.

Según Michael Taggart, miembro de IFIN, los paquetes comprometidos se modifican con scripts de preinstalación que descargan y ejecutan un paquete npm malicioso llamado atomic-lockfile.

El investigador de seguridad independiente Whanos señala que una muestra de atomic-lockfile incluía una carga útil ELF de Linux llamada deps, que era un "ladrón de credenciales con capacidades de rootkit eBPF (filtro de paquetes Berkeley extendido) opcionales solo para root. Está diseñado para estaciones de trabajo de desarrolladores y entornos de compilación. Su objetivo son los datos de navegadores y aplicaciones Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material de VPN, historiales de shell y otros secretos locales de desarrolladores", afirma Whanos en el informe.

Gracias a la tecnología eBPF, el malware puede ejecutarse dentro del kernel con privilegios elevados y ocultar procesos locales.

La empresa de gestión de la cadena de suministro Sonatype también publicó un informe sobre una campaña dirigida al repositorio AUR y que distribuía el paquete malicioso atomic-lockfile de npm, pero utilizando un método diferente. Los investigadores de Sonatype afirman que el atacante secuestró al menos 20 paquetes huérfanos en AUR e distribuyó atomic-lockfile modificando el archivo PKGBUILD, un script de Bash con la información de compilación necesaria para los paquetes de Arch Linux.

Según el informe, el atacante añadió un script posterior a la instalación para invocar npm y descargar el paquete malicioso. "Los paquetes modificados añaden un script posterior a la instalación que invoca npm e instala atomic-lockfile durante la instalación del paquete", explica Sonatype.

Sin embargo, el análisis reveló que el paquete npm instalaba un ejecutable de Linux con referencias a un rootkit eBPF capaz de ocultar procesos, archivos e interfaces de red. Además, el binario de Linux indica que posee funcionalidad de robo de información, dirigida a los siguientes tipos de información confidencial:

  • Credenciales de GitHub
  • Archivos SSH
  • Tokens de HashiCorp Vault
  • Bases de datos de cookies del navegador
  • Datos de Slack
  • Datos de Discord
  • Datos de Microsoft Teams
  • Datos de Telegram

Sonatype determinó que el binario puede archivar datos, manejar archivos multipartes y realizar cargas HTTP, por lo que cuenta con la funcionalidad necesaria para un mecanismo típico de exfiltración de datos.

Los responsables de AUR están trabajando para identificar y eliminar todas las confirmaciones maliciosas y bloquear las cuentas que las distribuyen. En un mensaje a la comunidad, Jonathan Grotelüschen, responsable del paquete Arch Linux, instó a los usuarios a reportar cualquier paquete malicioso que encuentren.

Como regla general, se recomienda confiar únicamente en proyectos con actualizaciones frecuentes y una comunidad activa. Se aconseja a los usuarios de Arch que revisen la lista de paquetes afectados y busquen los indicadores de compromiso que se mencionan en el informe de Whanos.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!