Quizás recuerden que hace un par de meses dos aplicaciones maliciosas se colaron en la tienda de paquetes snap de Ubuntu, dejando claro que el malware realmente no discrimina por más que para algunos pareciera que en Linux no existen ni pasan esas cosas.

Ahora algo similar ha pasado en uno de los repositorios más emblemáticos de Arch Linux, AUR. El pasado 7 de julio un paquete AUR fue modificado con código malicioso por un usuario llamado "xeactor", un usuario con un historial de publicar paquetes de minado de criptmonedas.

El paquete aparentemente estaba huérfano, es decir, no era mantenido por nadie hasta que "xeactor" lo modificó para incluir un comando curl que descargaba un script desde Pastebin. Es script descargaba otro script e instalaba una unidad systemd para ejecutarse de forma periódica.

No se puede confiar ciegamente en la procedencia de los paquetes que instalamos solo por estar usando Linux

Si bien el código malicioso no hacía nada particularmente dañino, y solo intentaba subir información del sistema en el que se instalaba, como explican en Linux Uprising, debido a un error en el mismo código no funcionaba. Lo que sugiere que la persona que lo creó no sabía muy bien lo que estaba haciendo. Eso y que también se dejó su clave personal de la API de Pastebin en texto plano dentro del script.

Esta vez la intención de los scripts terminó fracasando, pero queda de advertencia para el futuro. AUR esta lleno de paquetes …