🐧 Arch Linux Hapus Paket AUR yang Menyebarkan Malware Chaos RAT

Tim keamanan Arch Linux telah menarik beberapa paket dari AUR (Arch User Repository) setelah ditemukan bahwa paket tersebut menginstal malware Chaos RAT, alat kontrol jarak jauh yang sangat berbahaya.

Insiden ini menjadi peringatan serius bagi komunitas open-source, terutama pengguna Arch yang kerap mengandalkan AUR untuk instalasi perangkat lunak yang tidak tersedia di repositori resmi.

Detail Insiden:

• 📦 Paket Terinfeksi: adobe-premiere, libpeer, dan beberapa lainnya yang baru saja diunggah
• 👤 Akun Penyerang: sendy, yang kini telah diblokir permanen
• 🐀 Malware: Chaos Remote Access Trojan (RAT)
  • Memberi akses penuh ke sistem korban
  • Dapat digunakan untuk pencurian data, eksekusi perintah jarak jauh, dan penyebaran malware tambahan

Cara Penyebaran:

• Penyerang mengunggah paket ke AUR dengan nama menarik (seolah-olah aplikasi populer)
• Di dalam script instalasi (PKGBUILD), disisipkan skrip jahat yang:
  • Mengunduh malware dari server eksternal
  • Menyembunyikan prosesnya dari pengguna
• Malware langsung aktif setelah proses build selesai jika pengguna tidak memeriksa isinya terlebih dahulu

Tanggapan Komunitas Arch:

• 🔥 Paket telah dihapus dan developer jahat diblokir
• 🛑 Pengguna disarankan untuk tidak menginstal ulang atau menjalankan kembali paket yang mencurigakan
• 🧼 Langkah forensik dan mitigasi sedang berlangsung, termasuk pemeriksaan pada sistem yang mungkin telah terinfeksi

Rekomendasi:

• Selalu audit file PKGBUILD sebelum menginstal dari AUR
• Gunakan AUR helper yang transparan (seperti yay atau paru) dengan opsi review manual
• Jalankan pemindaian sistem jika baru saja menginstal paket dari AUR yang tidak dikenal

Sumber

BleepingComputer