Bon, là je vais pas y aller par quatre chemins : si vous avez installé certains packages sur l’AUR (Arch User Repository) ces derniers jours, vous avez peut-être un RAT (Remote Access Trojan) qui squatte tranquille sur votre machine sous Arch Linux. Et croyez-moi, c’est pas le genre de colocataire que vous voulez garder.

Le 16 juillet 2025 dernier, un utilisateur répondant au doux nom de “danikpapas” (compte maintenant banni, évidemment) a réussi à publier des malwares sur l’AUR. Ces saloperies sont restées en ligne pendant environ 48 heures avant que l’équipe de l’AUR ne s’en rende compte et vire tout ce bordel.

Les packages vérolés en question sont : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. C’est vicieux car ces noms imitent volontairement les vrais packages légitimes (librewolf-bin, firefox-bin et zen-browser-bin) en ajoutant des mots comme “fix” ou “patched” qui donnent l’impression que c’est une version améliorée ou corrigée.

Faut reconnaître que le mec était pas con dans son approche car qui n’a jamais vu un package avec “fix” ou “patched” et s’est dit “ah tiens, ça doit être mieux que la version normale” ? C’est exactement sur ce réflexe qu’il a joué, le fourbe.

Mais attendez, c’est pas fini puisque 3 autres packages suspects ont aussi été dégagés : minecraft-cracked (là c’est clair, ça cible les gamins qui veulent jouer gratos), ttf-ms-fonts-all (qui fait croire que le package normal ttf-ms-fonts ne contient pas toutes les polices) et vesktop-bin-patched (Vesktop étant un client Discord populaire).

Le truc vraiment moche, c’est que ces packages installaient tous le même malware : Chaos RAT. Pour ceux qui ne connaissent pas, un RAT c’est un Remote Access Trojan, en gros un logiciel qui donne le contrôle total de votre machine à quelqu’un d’autre. Surveillance, installation d’autres malwares, vol de données… c’est open bar pour l’attaquant.

Et bien chaque package contenait dans son PKGBUILD une entrée “patches” qui pointait vers un dépôt GitHub contrôlé par l’attaquant (github.com/danikpapas/zenbrowser-patch.git, maintenant supprimé bien sûr) et au lieu d’appliquer de vrais patches, ce dépôt exécutait du code malveillant pendant l’installation.

Ce qui est dingue dans cette histoire, c’est que personne n’a rien vu pendant 2 jours. Les packages avaient même récolté 8 / 9 votes positifs ! C’est finalement grâce à Reddit que l’alerte a été donnée car un compte Reddit dormant depuis 3 ans (probablement compromis ou racheté) a commencé à faire la promo de ces packages sur r/archlinux avec un post intitulé “The AUR is awesome”.

Grave erreur stratégique du pirate pusique la communauté Arch sur Reddit, c’est pas des tendres. Ils ont direct flairé l’embrouille et ont commencé à creuser. Un utilisateur a balancé le package sur VirusTotal et boom : 32 antivirus sur 70 ont détecté le malware. Pas vraiment ce qu’on appelle un faux positif, hein.

Voilà, donc si vous avez installé un de ces packages, voici ce qu’il faut faire illico :

1. Supprimez le package immédiatement avec pacman -R nom-du-package
2. Cherchez un processus qui s’appelle systemd-initd (c’est le RAT qui se planque)
3. Si vous le trouvez, tuez-le et envisagez sérieusement une réinstallation complète.

Alors je vous vois venir : “Mais Korben, ça veut dire que l’AUR c’est dangereux et qu’il faut plus l’utiliser ?” Mais nooon, calmons-nous deux secondes mes amis.

L’AUR a toujours été ce qu’il est à savoir un dépôt communautaire avec très peu de modération. C’est un peu comme GitHub mais pour les packages Arch. Dans 99,9% des cas, tout va bien, mais oui, parfois des conneries comme ça peuvent arriver et c’est pas la première fois (en 2018 y’avait déjà eu un cas similaire).

Donc pour vous protéger à l’avenir, quelques conseils plein de bon sens :

• Vérifiez toujours la page du package sur l’AUR avant d’installer
• Regardez les commentaires, les votes, depuis quand le package existe
• Méfiez-vous des packages tout neufs avec des noms chelous
• Si possible, jetez un œil au PKGBUILD pour voir ce qu’il fait
• En cas de doute, demandez sur les forums ou le Discord Arch Linux

Ce qui me fait chier dans cette histoire, c’est surtout la communication pourrie autour de l’incident car l’alerte officielle a uniquement été postée sur la mailing list de l’AUR. C’est tout… Et comme personne ne lit encore les mailing lists en 2025 et bien le post a récolté royalement 2 upvotes et a probablement été vu par 20 pelés et 3 tondus. Heureusement que le Discord communautaire d’Arch a relayé l’info, sinon on serait encore dans le brouillard.

Bref, pour finir sur une note positive, énorme respect à tous ceux qui ont détecté et signalé ces packages. C’est grâce à eux que l’attaque n’a duré “que” 48 heures, sinon on aurait probablement encore des gens qui installeraient ces merdes aujourd’hui.

Voilà, comme toujours avec les trucs communautaires, faut garder son cerveau allumé et si vous voyez un truc louche, signalez-le ! Même si vous n’êtes pas sûr à 100%, mieux vaut un faux positif qu’un vrai malware qui tourne pendant des semaines.

Bon si vous pensiez que votre système Linux adoré était à l’abri des malwares, c’est raté comme votre dernière coup de cheveux ! Chaos RAT est en effet en train de faire des siennes partout et franchement, c’est pas joli joli. Ce petit salopard existe depuis 2017 et il continue pourtant de faire des dégâts en 2025. Et le pire, c’est qu’à la base c’était un outil tout à fait légitime !