Una reciente campaña de distribución de malware ha comprometido el repositorio comunitario AUR de Arch Linux, afectando directamente a usuarios de sistemas Linux. Tres paquetes publicados por un usuario malicioso contenían scripts ocultos que descargaban e instalaban Chaos RAT, un troyano de acceso remoto con capacidades de control total sobre el sistema infectado. Aunque la distribución inicial fue a través de software dirigido a Linux, el malware desplegado también es compatible con sistemas Windows, lo que amplía el alcance potencial del ataque.
Detalles de la amenaza
Los paquetes maliciosos (librewolf-fix-bin, firefox-patch-bin y zen-browser-patched-bin) contenían instrucciones que descargaban el malware desde un servidor externo durante el proceso de instalación. Chaos RAT, escrito en el lenguaje de programación Go, permite a los atacantes ejecutar comandos, mover archivos, establecer persistencia y tomar control completo del sistema infectado.
Esta familia de malware se ha utilizado anteriormente en campañas contra sistemas Windows, pero en este caso fue integrada dentro de paquetes comunitarios de Arch Linux, lo que demuestra un cambio en las tácticas de distribución que apunta a entornos más técnicos o corporativos.
Alcance de la campaña
Aunque los afectados inmediatos son usuarios de Arch Linux y sus derivados, Chaos RAT es una amenaza multiplataforma. Cualquier red que incluya sistemas Windows podría verse comprometida si el malware se propaga o si se trasladan archivos maliciosos entre entornos. Esta capacidad convierte la campaña en un riesgo para entornos mixtos o desarrolladores que operan entre ambos sistemas operativos.
Indicadores de compromiso (IoCs)
| Tipo | Versiones Afectadas |
| Dirección C2 | 130.162.225.47:8080 |
| Hashes (SHA-256) | 653c7a95e4d03518f8995cf05a0b4c36 e502b8d617a2cd9bfa41762282a0ff81 aaa95a7470abc3b25b541aa6e0c4b7c1 f9ed313b6414a9a761743dc90defc59f ee890d42d22257205001cd9586bfa7d2 fab450261c2e3d86f6b8b005d76a9b85 88c465d1a85d4b4beeedb52c7f7dfaed |
| Hashes (MD5) | 1e074d9dca6ef0edd24afb2d13ca4429def5fc5486cd4170c989ef60efd0bbb0 77962a384d251f0aa8e3008a88f206d6cb1f7401c759c4614e3bfe865e3e985c 44c54d9d0b8d4862ad7424c677a6645edb711a6d0f36d6e87d7bae7a2cb14d68 c9694483c9fc15b2649359dfbd8322f0f6dd7a0a7da75499e03dbc4de2b23cad 719082b1e5c0d18cc0283e537215b53a864857ac936a0c7d3ddbaf7c7944cf79 c39184aeb42616d7bf6daaddb9792549eb354076b4559e5d85392ade2e41763e 080f56cea7acfd9c20fc931e53ea1225eb6b00cf2f05a76943e6cf0770504c64 |
Recomendaciones:
- Verificar manualmente el contenido de cualquier paquete antes de instalar desde AUR.
- No instalar paquetes de usuarios no verificados o de reciente creación sin inspección previa.
- Si se usaron los paquetes mencionados, revisar si existe el archivo systemd-initd o procesos desconocidos en /tmp.
- Agregar los respectivos IOCs en sus herramientas de seguridad perimetral o de punto final.
- Usar herramientas EDR o AV con detección de comportamientos tipo RAT (Chaos) tanto en Linux como en Windows.
Referencias
Para mayor información sobre las vulnerabilidades descritas, consultar los siguientes enlaces: