{"id":139516,"date":"2026-06-12T09:08:38","date_gmt":"2026-06-12T15:08:38","guid":{"rendered":"https:\/\/pongara.net\/news\/campana-de-malware-en-aur-arch-linux-mas-de-400-paquetes-afectados\/"},"modified":"2026-06-12T09:08:38","modified_gmt":"2026-06-12T15:08:38","slug":"campana-de-malware-en-aur-arch-linux-mas-de-400-paquetes-afectados","status":"publish","type":"post","link":"https:\/\/pongara.net\/news\/campana-de-malware-en-aur-arch-linux-mas-de-400-paquetes-afectados\/","title":{"rendered":"Campa\u00f1a de malware en AUR (Arch Linux): m\u00e1s de 400 paquetes afectados"},"content":{"rendered":"
\n

<\/p>\n

Campa\u00f1a de malware en AUR<\/strong>. El Arch User Repository, el repositorio comunitario de Arch Linux<\/a> y uno de los atractivos tradicionales de la distribuci\u00f3n por la gran cantidad de paquetes que contiene, ha sido el escenario de un despliegue de contenido malicioso sin precedentes, aunque se desconoce por el momento el alcance efectivo que pueda haber tenido.<\/p>\n

Seg\u00fan recoge Phoronix<\/a>, AUR ha sido objeto de una campa\u00f1a de malware a gran escala que habr\u00eda comprometido m\u00e1s de 400 paquetes<\/strong>. Una situaci\u00f3n que los responsables del proyecto llevan desde el jueves trabajando en revertir, eliminando los commits<\/em> maliciosos y bloqueando las cuentas afectadas, mientras la comunidad comunica los avances en la lista de correo aur-general.<\/p>\n

\u00bfC\u00f3mo ha sucedido? Al margen de sus ventajas, AUR es un repositorio abierto, no oficial y mantenido por los propios usuarios. No funciona como los repositorios oficiales de Arch Linux y no ofrece las mismas garant\u00edas. O, como recuerdan desde CachyOS<\/a>, una de las comunidades que ha difundido avisos a sus usuarios a ra\u00edz del incidente, la \u00fanica forma segura de usar AUR pasa por revisar cada PKGBUILD.<\/p>\n

Y ya sabemos que eso, en la pr\u00e1ctica, no siempre se hace. Pero este no es un riesgo exclusivo de AUR: repositorios de terceros o comunitarios, como los PPA de Ubuntu, los repositorios personales de openSUSE u otros mecanismos similares, son igualmente susceptibles a una campa\u00f1a de este tipo, aunque la popularidad de Arch Linux \u2014con derivadas como la mencionada CachyOS\u2014 es sin duda un aliciente.<\/p>\n

No es la primera vez que sucede algo as\u00ed en AUR<\/a>, aunque s\u00ed parece la de mayor alcance. En 2018 ya se detect\u00f3 un paquete marcado como hu\u00e9rfano que fue modificado para descargar un script<\/em> desde Pastebin mediante curl e instalar una unidad de systemd con ejecuci\u00f3n peri\u00f3dica; tras su descubrimiento aparecieron otros dos casos similares y la comunidad suspendi\u00f3 la cuenta implicada y elimin\u00f3 los paquetes maliciosos.<\/p>\n

Lo que se sabe del ataque<\/strong><\/h3>\n

La informaci\u00f3n recogida en el hilo de Arch Linux<\/a> apunta a una campa\u00f1a coordinada y bastante activa<\/strong>. Entre los ejemplos citados aparecen paquetes como exodus-wallet-bin, anythingllm-appimage o arm-linux-gnueabihf-binutils, adem\u00e1s de otros reportados posteriormente. En algunos casos se menciona el uso de npm para instalar dependencias sospechosas; en otros, la introducci\u00f3n de paquetes identificados como maliciosos o cambios posteriores en las dependencias que apuntaban al mismo objetivo.<\/p>\n

Otro detalle relevante se\u00f1alado por uno de los mantenedores de Arch es que algunos commits<\/em> imitaban el nombre y el correo del commit<\/em> anterior, lo que pod\u00eda dar una falsa sensaci\u00f3n de continuidad o legitimidad al revisar el historial. No estamos, por tanto, ante un paquete aislado colado por despiste, sino ante un ataque amplio contra una v\u00eda de distribuci\u00f3n especialmente sensible.<\/p>\n

Desde CachyOS, una de las distribuciones derivadas de Arch m\u00e1s populares del momento, se ha publicado un aviso para sus usuarios<\/a> con una lista de paquetes afectados y un peque\u00f1o script<\/em> de comprobaci\u00f3n<\/strong>. Ahora bien, el propio aviso insiste en sus limitaciones: se trata de una revisi\u00f3n superficial por nombre de paquete, no aplica ning\u00fan remedio, no verifica la integridad del sistema y puede arrojar falsos positivos. Si devuelve resultados, hay que investigarlos.<\/p>\n

Qu\u00e9 hacer si usas AUR<\/strong><\/h3>\n

La recomendaci\u00f3n evidente es no actualizar ni instalar paquetes de AUR a lo loco durante unos d\u00edas, salvo que se revise con atenci\u00f3n lo que se va a ejecutar. Esto implica mirar el PKGBUILD, revisar los cambios recientes y desconfiar de actualizaciones inesperadas<\/strong>, sobre todo en paquetes con cambios recientes que introduzcan descargas o dependencias sin justificaci\u00f3n clara.<\/p>\n

Quien haya actualizado paquetes de AUR desde el 11 de junio deber\u00eda comprobar si alguno de ellos est\u00e1 entre los afectados y, en caso de duda, esperar a las indicaciones de Arch o de la distribuci\u00f3n que utilice. La lista y el script<\/em> publicados en CachyOS pueden servir como punto de partida, pero no como garant\u00eda de limpieza.<\/p>\n

No conviene sacar el asunto de quicio, aunque el incidente es serio. De hecho, es un buen recordatorio<\/strong> de los riesgos de salirse del cerco oficial que proporcionan las distribuciones \u2014l\u00e9ase los repositorios oficiales\u2014 sin preocuparse lo m\u00e1s m\u00ednimo por comprobar lo que se est\u00e1 haciendo. Una m\u00e1xima que vale para AUR y para cualquier otro proveedor de software.<\/p>\n

La entrada Campa\u00f1a de malware en AUR (Arch Linux): m\u00e1s de 400 paquetes afectados<\/a> es original de MuyLinux<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Campa\u00f1a de malware en AUR. El Arch User Repository, el repositorio comunitario de Arch Linux y uno de los atractivos tradicionales de la distribuci\u00f3n por […]<\/p>\n","protected":false},"author":1,"featured_media":139517,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2601],"tags":[2413,1800,186,6351],"class_list":["post-139516","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-linux","tag-afectados","tag-campana","tag-malware","tag-paquetes"],"_links":{"self":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts\/139516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/comments?post=139516"}],"version-history":[{"count":0,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts\/139516\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/media\/139517"}],"wp:attachment":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/media?parent=139516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/categories?post=139516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/tags?post=139516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}