Arch Linux: perché i pacchetti AUR contengono (anche) malware?

A metà luglio 2025 ha fatto scalpore la notizia della scoperta di alcuni pacchetti contenenti malware all’interno dell’Arch User Repository (AUR). Il codice contenuto nei pacchetti pacchetti, denominati librewolf-fix-bin, firefox-patch-bin e zen-browser-patched-bin puntava a uno script malevolo ospitato su GitHub, che installava il CHAOS Remote Access Trojan (RAT) sui sistemi Linux.

CHAOS RAT è un trojan per l’accesso remoto (Remote Access Trojan) open source, progettato per colpire sistemi Windows e Linux. Una volta installato su un dispositivo, consente a un attaccante remoto di eseguire comandi a distanza, caricare o scaricare file, aprire una reverse shell e assumere il pieno controllo del sistema infetto. Il componente dannoso comunica con un server C2 (Command and Control), al quale si connette periodicamente in attesa di istruzioni. È spesso utilizzato in campagne di cryptomining, furto di dati o spionaggio informatico, ed è apprezzato dagli attori malevoli per la sua flessibilità, il supporto multi-piattaforma e la facile distribuzione tramite script.

Com’è possibile che un repository Linux contenga malware?

Come abbiamo visto in altri nostri articoli, Arch Linux offre la possibilità di avvalersi sia dei repository ufficiali che di un repository gestito dalla comunità, basato su script (PKGBUILD) che descrivono come costruire i pacchetti. Quest’ultimo è appunto AUR.

Il vantaggio di AUR è che al suo interno è presente un gigantesco archivio di contenuti, introvabili nei repository tradizionali. Come accennato, ogni pacchetto AUR è basato su uno script PKGBUILD che automatizza il download del sorgente, la compilazione e l’installazione del programma.

Anche quando abbiamo parlato dello script per installare e configurare Arch Linux, abbiamo avuto modo di evidenziare l’importanza di usare la massima cautela con i pacchetti AUR. È infatti essenziale controllare attentamente il contenuto del file PKGBUILD, specialmente nel caso dei pacchetti poco noti, per evitare potenziali rischi di sicurezza.

Nel caso del malware CHAOS RAT, scoperto nei tre pacchetti citati in apertura e ospitati all’interno del repository AUR, era presente un campo source=patches nel file PKGBUILD che faceva riferimento a un repository GitHub gestito da terzi. Durante la fase di build, lo script clonava tale repository e lo integrava nel processo di patching.

Anziché applicare modifiche legittime al software, il codice eseguiva istruzioni malevole che installavano CHAOS RAT nel sistema della vittima. Il comportamento evidenzia una delle vulnerabilità strutturali dell’AUR: l’assenza di una revisione automatica o manuale dei nuovi pacchetti, che rende ogni utente responsabile della verifica del codice prima dell’installazione.

Arch Linux: come si installano i pacchetti dai repository ufficiali e da AUR?

In Arch Linux (e derivate come Manjaro, EndeavourOS, ecc.), l’installazione dei pacchetti può avvenire da due fonti principali:

• Repository ufficiali: pacchetti binari pronti all’uso, verificati e supportati direttamente.
• AUR (Arch User Repository): raccolta di script (PKGBUILD) mantenuti dalla comunità, da compilare localmente.

Nel primo caso, basta usare il gestore di pacchetti pacman. Ad esempio: sudo pacman -S nome_pacchetto

Nel secondo, si deve cercare il pacchetto su aur.archlinux.org, clonare il repository, controllare il file PKGBUILD, per poi procedere con l’installazione:

git clone https://aur.archlinux.org/nome-pacchetto.git
cd nome-pacchetto

less PKGBUILD

makepkg -si

In alternativa, AUR helper come yay e paru automatizzano ricerca, compilazione e installazione dei pacchetti AUR (supportano anche i repository ufficiali). Esempi:

yay -S nome-pacchetto

paru -S nome-pacchetto

Usare i pacchetti AUR con attenzione e controllare sempre lo script di installazione

Nel caso dell’incidente segnalato nei giorni scorsi, un account Reddit apparentemente dormiente da anni ha iniziato a promuovere i pacchetti AUR malevoli all’interno di discussioni relative ad Arch Linux, sollevando i primi sospetti nella community. Un utente ha sottoposto uno dei file a VirusTotal, che ha identificato la minaccia come CHAOS RAT.

Circa 48 ore dopo il primo caricamento dei pacchetti AUR malevoli, i maintainer di Arch Linux hanno provveduto alla loro rimozione, ringraziando la community per la pronta segnalazione. In un comunicato ufficiale, hanno ribadito l’importanza per gli utenti di ispezionare sempre i file PKGBUILD prima di procedere con l’installazione:

Incoraggiamo fortemente gli utenti che potrebbero aver installato uno di questi pacchetti a rimuoverli immediatamente e ad adottare le misure necessarie per assicurarsi che il loro sistema non sia stato compromesso.

Considerazioni finali: la sicurezza nella AUR è una responsabilità condivisa

Quanto accaduto evidenzia un tema ricorrente nel mondo delle distribuzioni Linux che fanno ampio uso di repository comunitari: la sicurezza è un equilibrio fragile tra fiducia e verifica.

A differenza dei repository ufficiali, AUR non gode di un meccanismo formale di auditing e ogni pacchetto dovrebbe essere trattato con il medesimo livello di cautela che si avrebbe nell’eseguire codice arbitrario da Internet.

È essenziale, quindi, non fidarsi ciecamente di nomi noti o “fix” promettenti, controllare sempre i link remoti nei file PKGBUILD, monitorare community come Reddit o forum ufficiali per avere notizia delle ultime segnalazioni.

In ogni caso, è sempre bene evitare di ricorrere agli AUR helper se non si sa esattamente che cosa fanno gli script di installazione “dietro le quinte”. Infine, è bene orientarsi solo ed esclusivamente su pacchetti ben mantenuti, con voti alti e commenti recenti.