Repositori Komunitas Arch Linux (AUR) Disusupi Malware, Ratusan Paket Terkontaminasi
Kabar mengejutkan datang dari ekosistem open-source Linux. Arch User Repository (AUR), repositori berbasis komunitas yang selama ini menjadi salah satu daya tarik utama bagi para pengguna Arch Linux dan distro turunannya (seperti Manjaro atau EndeavourOS), dilaporkan telah disusupi oleh kode berbahaya (malware).
Sejumlah akun mencurigakan—belum dipastikan apakah dikendalikan oleh satu peretas tunggal atau kelompok terorganisir—berhasil menyisipkan komit (commit) berbahaya ke dalam ratusan paket perangkat lunak pihak ketiga yang tersedia di platform tersebut.
Modus Operandi: Injeksi Package Manager NPM dan Keylogger
Berdasarkan laporan investigasi mendalam yang dirilis melalui utas diskusi di milis (mailing list) publik AUR, komunitas bersama tim pengelola Arch Linux mendeteksi adanya aktivitas mencurigakan pada lebih dari 400 paket software.
| Aspek Insiden | Rincian Eksploitasi Keamanan |
| Platform Terdampak | Arch User Repository (AUR) |
| Jumlah Paket Terinfeksi | Lebih dari 400 paket perangkat lunak komunitas. |
| Metode Penyerangan | Modifikasi skrip instalasi paket untuk mengunduh dependency luar secara ilegal. |
| Vektor Ancaman | Menyisipkan paket manajer NPM, yang kemudian otomatis memasang keylogger atau program pencuri data (info stealer). |
Para peretas memanfaatkan celah fleksibilitas AUR dengan mengubah skrip instalasi (PKGBUILD). Begitu pengguna awam mengunduh dan memasang paket yang telah terkontaminasi tersebut, sistem secara otomatis akan memicu pemasangan manajer paket NPM. Lewat jalur inilah, malware bertindak sebagai keylogger (perekam ketukan papan ketik) atau info stealer yang siap menguras kredensial, kata sandi, serta data sensitif dari komputer korban.
Langkah Penanganan oleh Tim Maintainer Arch Linux
Berbeda dengan rumor awal yang menyebutkan adanya penghapusan software secara massal, tim internal Arch Linux mengonfirmasi bahwa mereka tidak menghapus paket-paket tersebut secara sepihak dari pustaka sistem, melainkan melakukan pembersihan akar masalahnya.
Junior Package Maintainer Arch Linux, Jonathan Grotelüschen, memberikan klarifikasi resmi di dalam utas milis terkait langkah darurat yang sedang berjalan:
“Tim manajemen pemeliharaan saat ini sedang bekerja keras untuk meriset ulang dan menghapus seluruh komit berbahaya (malicious commits) yang teridentifikasi, sekaligus memblokir permanen akun-akun peretas yang terlibat dalam insiden ini.”
Imbauan Keamanan bagi Pengguna Arch Linux
Meskipun proses pembersihan (purge) tengah digenjot secara agresif oleh para pengembang, situasi di dalam ekosistem AUR saat ini dinilai belum sepenuhnya steril dari sisa-sisa ancaman tersembunyi.
Bagi Anda yang menggunakan Arch Linux atau distro berbasis Arch lainnya, berikut beberapa langkah mitigasi yang sangat disarankan:
- Tunda Pembaruan Sistem: Disarankan untuk menahan diri atau tidak melakukan pembaruan (update) paket, terutama yang bersumber dari AUR (menggunakan AUR helper seperti
yayatauparu), hingga tim pengembang menyatakan proses sterilisasi selesai. - Periksa Riwayat PKGBUILD: Jika Anda terpaksa harus memasang paket dari AUR, selalu luangkan waktu untuk memeriksa konten file PKGBUILD secara manual sebelum mengeksekusinya. Waspadai jika ada perintah asing yang mencoba memasang dependensi NPM atau mengeksekusi skrip dari URL eksternal yang mencurigakan.
Sumber: Arch Linux Security Notice & AUR Public Mailing List Thread
