Após uma onda de malware no Arch User Repository (AUR), um sistema de empacotamento AUR, Chaotic-AUR, está em resposta tomando medidas para aumentar a confiança e reduzir as chances de software malicioso atingir o pessoal do Arch Linux. Com base neste sistema, certas atualizações de pacotes serão sinalizadas para revisão humana antes de serem lançadas ao público.
Chaotic-AUR, um repositório de pacotes contendo software pré-compilado do AUR, está introduzindo um sistema de confiança do mantenedor para reduzir os casos de pessoas que recebem pacotes infundidos com malware do Chaotic-AUR. O novo sistema envolverá uma lista de mantenedores confiáveis, presumivelmente pessoas que compilam software para o Chaotic-AUR e que são conhecidos por serem indivíduos confiáveis, sem histórico de propagação de malware.
Os desenvolvedores do Chaotic-AUR dizem que antes do lançamento das atualizações de software, os mantenedores desse software serão verificados em relação à lista de mantenedores confiáveis. Se todos os mantenedores forem confiáveis, nada de incomum acontecerá e a atualização será enviada normalmente para as pessoas que acessam o Chaotic-AUR.
Se alguém entre os mantenedores não estiver na lista confiável, então, potencialmente, a atualização poderá ser retida para revisão, dependendo do tipo de atualização. Se for um pacote inócuo ou uma alteração de hash, nada acontecerá. Se for qualquer outro tipo de atualização, um humano terá que revisá-la antes de enviá-la para pessoas que usam o Chaotic-AUR.
É bom ver medidas de segurança sendo tomadas, mas não está claro como essa limitação de atualizações não confiáveis afetará a experiência das pessoas que usam o Chaotic-AUR. Os próprios desenvolvedores afirmaram isso com este comentário:
Embora ainda não possamos dizer quão sustentável será a revisão da parte não confiável das atualizações de pacotes, é certamente um bom passo a seguir. Talvez isso também abra a porta para as pessoas contribuírem, por exemplo, revisando as atualizações dos pacotes criados via PR 😇 (se alguém estiver interessado: avise a equipe!)
O principal benefício de usar o Chaotic-AUR é evitar compilar você mesmo o software AUR. Basicamente, ele permite instalar software do AUR usando os mesmos comandos pacman que você normalmente usaria para qualquer outro pacote Arch. Você não precisa saber como lidar com PKGBUILDs, nem instalar pacotes com o yay.
O próprio AUR é um repositório separado dos repositórios padrão do Arch Linux – core, extra e multilib. No AUR, os contribuidores podem ser basicamente qualquer pessoa que queira escrever um script PKGBUILD e carregá-lo. Isso tem o efeito de acelerar o acesso das pessoas às atualizações de software e de expor essas pessoas a abusos. O abuso na forma de malware aumentou visivelmente ultimamente, como o CHAOS RAT que apareceu em alguns forks do Firefox em julho de 2025, e outro que foi encontrado em um pacote do Google Chrome poucos dias depois.
Como apreciador ocasional do Chaotic-AUR, fico feliz em ver medidas de segurança sendo tomadas. Ainda assim, eu estaria interessado em saber mais detalhes sobre como as pessoas ganham e mantêm seu lugar na lista de mantenedores confiáveis. Como observaram os desenvolvedores, também estou interessado na rapidez com que as atualizações não confiáveis serão revisadas e aprovadas (ou rejeitadas).
Fonte: Chaotic-AUR através dos Fóruns Garuda Linux
