A equipe responsável pela Arch User Repository (AUR), principal fonte comunitária de aplicativos para o Arch Linux, bloqueou temporariamente a criação de novas contas. A medida foi tomada enquanto mantenedores eliminam uma onda de softwares contaminados por código malicioso.
Mais de 1.500 pacotes retirados do ar em mutirão de limpeza
De acordo com o site Foss Force, moderadores da AUR já removeram mais de 1.500 pacotes identificados com malware. Embora o projeto não tenha divulgado um comunicado oficial, quem tenta acessar a página de registro recebe mensagens de erro, enquanto o restante do portal segue operando normalmente. A interrupção visa dar tempo para revisar o acervo sem que novos envios prejudiquem o processo.
Lacunas na validação abriram caminho para ataques sucessivos
A AUR não é um repositório oficial do Arch Linux e, diferentemente dos canais mantidos pela distribuição, não conta com auditoria rigorosa nem geração controlada de pacotes binários. Basta um desenvolvedor se cadastrar para publicar seu próprio script de instalação (PKGBUILD), facilitando a vida de invasores. Foram registradas múltiplas investidas: a segunda leva de malware, segundo usuários, trouxe técnicas mais sofisticadas de camuflagem.
Comunidade pede processo de aprovação mais robusto
No Reddit e em outras redes, usuários veteranos defendem que a AUR adote um modelo de verificação prévia, mesmo que isso torne a inclusão de novos softwares mais lenta. A possibilidade de transformar a AUR em repositório oficial — ou pelo menos criar um selo de confiança após auditoria de “trusted users” — ganhou força nas discussões.
Soluções de outras distros ilustram caminhos possíveis
Distribuições concorrentes exibem mecanismos de triagem que poderiam inspirar o Arch. No Ubuntu, por exemplo, a Snap Store exige cadastro verificado do desenvolvedor, realiza análises automáticas de segurança e submete aplicativos a revisão manual quando solicitam permissões ampliadas. O processo reduz a probabilidade de surtos de malware, ainda que limite parte da liberdade defendida por entusiastas do software livre.
Imagem: Lucas Gouveia
Sem previsão de reabertura e recomendação de fontes alternativas
A equipe da AUR não divulgou prazo para normalizar cadastros nem anunciou mudanças formais de política. Enquanto isso, usuários que precisem de pacotes ausentes nos repositórios oficiais devem recorrer a mirrors confiáveis, projetos terceiros ou downloads diretos, cientes dos riscos extras de segurança.
Fonte: howtogeek.com
