El repositorio comunitario AUR de Arch Linux fue objeto recientemente de una serie de modificaciones maliciosas en varios paquetes mantenidos por usuarios. Según el hilo de seguimiento abierto por la comunidad (https://lists.archlinux.org/archive....org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/) , se están revisando los cambios, eliminando los commits alterados y bloqueando las cuentas vinculadas a estas acciones.
El AUR es un sistema comunitario de empaquetado que permite a los usuarios publicar recetas de compilación y paquetes para que otros los revisen e instalen. A diferencia de los repositorios oficiales, su contenido depende en gran medida de la revisión manual de quienes lo utilizan, por lo que cualquier cambio inesperado merece atención.
En el caso reportado, se detectaron dependencias sospechosas, entre ellas atomic-lockfile, incorporadas en scripts y archivos asociados a los paquetes afectados. Por ese motivo, la recomendación habitual es revisar con cuidado los PKGBUILD y archivos .install antes de compilar o instalar software desde el AUR, especialmente cuando el paquete tuvo actualizaciones recientes.
Por ahora, el incidente está centrado en paquetes del AUR y en los cambios introducidos dentro de ese entorno. La situación sigue bajo seguimiento por parte de la comunidad, que está concentrando los reportes en un mismo hilo para coordinar la respuesta.
[Actualización 12-06-2026 10:12 AM]
> There is a whole new wave of PKGBUILD being adopted with probably
> malicious command added. This time using a tool called "bun".
I have been asked to relay this:
From Thorsten Wißmann <[email protected]>
To Marcin Wieczorek <[email protected]>
Date Today 15:54
Dear Marcin,
I saw that you were active on the AUR mailing list. Since I'm not
subscribed, can you report another malicious user for me?
Malicious User: https://aur.archlinux.org/account/veramagalhaes
Example change, impersonating me:
https://aur.archlinux.org/cgit/aur....m&id=4d20101aa40a868a219eabb9d899bf34533c5b59
Best,
Thorsten
> malicious command added. This time using a tool called "bun".
I have been asked to relay this:
From Thorsten Wißmann <[email protected]>
To Marcin Wieczorek <[email protected]>
Date Today 15:54
Dear Marcin,
I saw that you were active on the AUR mailing list. Since I'm not
subscribed, can you report another malicious user for me?
Malicious User: https://aur.archlinux.org/account/veramagalhaes
Example change, impersonating me:
https://aur.archlinux.org/cgit/aur....m&id=4d20101aa40a868a219eabb9d899bf34533c5b59
Best,
Thorsten
A la ola inicial de alteraciones se suma ahora un nuevo patrón: varios PKGBUILD están incorporando comandos maliciosos mediante una herramienta llamada bun. En el caso reportado, un cambio en el paquete nodejs-elm modificó el archivo .SRCINFO, alteró el PKGBUILD y añadió un archivo .install con un post_install() que ejecuta bun add ora js-digest got dentro de /tmp.
Además, el contenido del commit muestra un intento de suplantación del mantenedor original, con cambios en los campos de autoría y una referencia directa a una cuenta identificada como maliciosa. En el mensaje remitido por Thorsten Wißmann también se solicita reportar a otro usuario sospechoso, junto con un ejemplo concreto de modificación atribuida a ese actor.
El AUR es un sistema comunitario de empaquetado donde los usuarios publican recetas de compilación y scripts asociados. A diferencia de los repositorios oficiales, su contenido depende en gran medida de la revisión manual, por lo que cualquier cambio inesperado en PKGBUILD, .SRCINFO o archivos .install merece atención.
Por ahora, el incidente sigue centrado en paquetes del AUR y en cambios introducidos dentro de ese entorno. La comunidad mantiene el seguimiento en la lista de correo para coordinar la detección, remoción y bloqueo de los elementos comprometidos.
Última modificación: