Arch Linux remove pacotes maliciosos do AUR que instalavam o Malware CHAOS RAT em dispositivos linux

A equipe do Arch Linux agiu rapidamente para remover três pacotes maliciosos do Arch User Repository (AUR) que estavam sendo utilizados para instalar o trojan de acesso remoto (RAT) CHAOS em dispositivos Linux. Os pacotes, nomeados "librewolf-fix-bin", "firefox-patch-bin" e "zen-browser-patched-bin", foram enviados pelo mesmo usuário, "danikpapas", em 16 de julho de 2025.

A remoção ocorreu apenas dois dias depois, em 18 de julho, após a comunidade sinalizar os pacotes como maliciosos. "Em 16 de julho, por volta das 20h UTC+2, um pacote AUR malicioso foi enviado para o AUR", alertaram os mantenedores do AUR. "Dois outros pacotes maliciosos foram enviados pelo mesmo usuário algumas horas depois. Esses pacotes estavam instalando um script vindo do mesmo repositório GitHub que foi identificado como um Trojan de Acesso Remoto (RAT)."

O AUR é um repositório comunitário onde usuários do Arch Linux podem publicar scripts de construção de pacotes (PKGBUILDs) para automatizar o processo de download, construção e instalação de softwares que não estão incluídos no sistema operacional. No entanto, assim como muitos outros repositórios de pacotes, o AUR não possui um processo de revisão de formato para pacotes novos ou atualizados. Isso significa que a responsabilidade de revisar o código e os scripts de instalação recai sobre o próprio usuário antes de construir e instalar o pacote.

Embora todos os pacotes já tenham sido removidos, o BleepingComputer encontrou cópias arquivadas dos três, indicando que o hacker começou a enviar os pacotes às 18h46 UTC de 16 de julho. Cada pacote continha uma entrada de origem no arquivo PKGBUILD chamada "patches" que apontava para um repositório GitHub sob controle do invasor: https://github.com/danikpapas/zenbrowser-patch.git.

Quando o PKGBUILD era processado, este repositório era clonado e tratado como parte do processo de aplicação de patches e construção do pacote. Contudo, em vez de ser um patch legítimo, o repositório GitHub continha código malicioso que era executado durante a fase de construção ou instalação. Este repositório GitHub já foi removido, e o repositório .git não está mais disponível para análise.

Paralelamente, uma conta no Reddit começou a responder a vários tópicos do Arch Linux na plataforma, promovendo esses pacotes no AUR. Os comentários foram postados por uma conta que parecia estar inativa há anos e que, provavelmente, foi comprometida para disseminar os pacotes maliciosos. Usuários do Arch no Reddit rapidamente consideraram os comentários suspeitos. Um deles enviou um dos componentes para o VirusTotal, que o detectou como o malware Linux chamado CHAOS RAT.

O CHAOS RAT é um trojan de acesso remoto (RAT) de código aberto projetado para Windows e Linux. Ele pode ser usado para upload e download de arquivos, execução de comandos e abertura de um "reverse shell", concedendo aos hackers acesso total a um dispositivo infectado. Uma vez instalado, o malware se conecta repetidamente a um servidor de comando e controle (C2), localizado nesta campanha em 130.162[.]225[.]47:8080, onde aguarda comandos para executar. O CHAOS RAT é comumente empregado em campanhas de mineração de criptomoedas, mas também pode ser utilizado para coletar credenciais, roubar dados ou conduzir ciberespionagem.

Devido à gravidade do malware, qualquer usuário que tenha instalado um desses pacotes por engano deve verificar imediatamente a presença de um executável suspeito chamado "systemd-initd" em seu computador, que pode estar localizado na pasta /tmp. Se encontrado, o arquivo deve ser excluído.

A equipe do Arch Linux removeu todos os três pacotes por volta das 18h UTC+2 de 18 de julho. "Nós encorajamos fortemente os usuários que possam ter instalado um desses pacotes a removê-los de seus sistemas e a tomar as medidas necessárias para garantir que não foram comprometidos", alertou a equipe do Arch Linux.

Via - BC