Malware en Arch Linux: hackean paquetes de Firefox, LibreWolf y Zen con un troyano de acceso remoto

Generada con IA

Usan Chaos RAT, de código abierto, para infectar diferentes máquinas de Arch Linux en paquetes de Firefox, LibreWolf y Zen, aunque también afectar a Windows.

Un usuario malicioso ha utilizado el repositorio comunitario de Arch Linux, AUR, para distribuir directamente malware con capacidades de control total sobre el sistema infectado en cuestión.

Concretamente, el malware ha sido escrito en Go, un lenguaje de programación bastante usado, y se ha distribuido mediante paquetes que afectan al navegador de Mozilla, Firefox, con firefox-patch-bin; a LibreWolf, con librewolf-fix-bin, y a Zen, con zen-browser-patched-in.

Estos 3 paquetes, que ya han sido retirados, contenían cargas maliciosas, como el conocido Chaos RAT, un troyano de acceso de remoto, para mantener el control total sobre la máquina infectada, aunque no solo podría afectar a Arch Linux.

Chaos RAT lleva activo desde 2022, tuvo una gran evolución durante 2024 y, en 2025, ya se ha convertido en una peligrosa herramienta de administración remota de código abierto, incluso llegando a sistemas operativos Windows.

Fue desarrollado con Golang –el lenguaje Go mencionado–, según explican en Acronis, y permite la compatibilidad entre plataformas con sistemas Windows y Linux, un ejemplo claro de que las herramientas legítimas también pueden ser utilizadas para cometer ciberataques si caen en las manos equivocadas.

Según el informe técnico de Acronis, a diferencia del malware creado en principio con el lenguaje C y otros, Go permite que se reduzcan los tiempos de desarrollo, además de que permite mayor flexibilidad.

De nuevo, hay que destacar que Chaos RAT se creó como una herramienta legítima para la gestión remota de dispositivos, aunque al ser de código abierto los actores maliciosos lo han usado para desarrollar un troyano con malas intenciones.

Como su propio nombre indica, este malware caótico comenzó a infectar diferentes máquinas mediante el phishing en correos electrónicos, con archivos adjuntos o enlaces maliciosos que modificaban el archivo /etc/crontab.

Este último es un programador de tareas que utilizan los actores de amenazas persistentes para actualizar o cambiar la carga útil sin necesidad de tocar nada en el sistema de destino; en sus primeras campañas, comprometió dispositivos para reunir información y minar criptomonedas.

Gracias a su interfaz tan accesible, Chaos RAT no requiere de profundos conocimientos técnicos, ya que desde ella se pueden construir y controlar cargas útiles, con un panel de administración que se puede lanzar de forma local.

Entre los grandes riesgos de su uso por cibercriminales, aparecen datos personales sensibles de la máquina infectada, como la dirección IP, información del sistema operativo, identificación del usuario y la posibilidad de navegar por los archivos del sistema.

Pero no solo eso, ya que también es capaz de cargar, descargar, eliminar y ejecutar cualquier archivo que se encuentre a nivel local, un riesgo tanto para Linux como para Windows.

Una vez que el malware ha analizado toda la información del dispositivo, comienza a recopilar diferentes metadatos, además de identificadores como la arquitectura del sistema, entrando en un bucle infinito con capacidad de monitorización en tiempo real.

Por si no fuera suficiente, Chaos RAT es capaz de acceder a la consola y controlar el proxy de red, lo que permitiría al atacante la exfiltración de datos o, directamente, utilizar la máquina para lanzar un ransomware, uno de los malware más temidos.

Es bastante probable que Chaos RAT y otras amenazas persistentes continúen pisando fuerte durante este año, ya que las herramientas de código abierto pueden suponer un arma letal en manos de grupos de ciberdelincuentes.

Otros artículos interesantes: