Pengelola AUR mengonfirmasi bahwa mereka mendeteksi lonjakan signifikan paket malware yang diunggah ke repositori dalam beberapa pekan terakhir. Untuk menghentikan penyebaran lebih lanjut, registrasi akun baru diblokir hingga sistem verifikasi yang lebih ketat siap diterapkan.
AUR selama ini dikenal sebagai titik lemah keamanan ekosistem Arch Linux. Berbeda dengan repositori utama yang mewajibkan peninjauan ketat, AUR memungkinkan siapa pun mengunggah paket tanpa moderasi penuh — hanya mengandalkan kepercayaan komunitas dan laporan pengguna.
Model ini menjadi celah empuk bagi aktor jahat. Dalam beberapa kasus sebelumnya, malware di AUR menyamar sebagai aplikasi populer atau utilitas sistem, menunggu korban yang tidak curiga untuk mengunduh dan mengompilasinya secara manual.
Bagi pengguna Arch Linux di Indonesia, situasi ini berarti jeda dalam akses ke perangkat lunak baru dari komunitas. Banyak aplikasi lokal atau tweak sistem khusus yang hanya tersedia di AUR tidak bisa diperbarui atau ditambahkan oleh kontributor baru.
Pengembang Tanah Air yang baru ingin merilis paket untuk distribusi Linux favorit mereka harus menunggu hingga pintu registrasi dibuka kembali. Belum ada kepastian kapan pemblokiran ini akan dicabut.
Tim Arch Linux belum merinci mekanisme verifikasi baru yang sedang dikembangkan. Namun, spekulasi di forum komunitas mengarah pada penerapan sistem otentikasi dua faktor, batasan unggahan harian untuk akun baru, atau bahkan proses peninjauan manual untuk paket tertentu.
“Kami lebih memilih memperlambat pertumbuhan repositori daripada membiarkan pengguna kami menjadi korban,” tulis salah satu pengelola dalam utas diskusi internal.
Untuk saat ini, pengguna yang sudah memiliki akun AUR masih bisa mengunggah dan memperbarui paket seperti biasa. Pengguna umum juga tetap bisa mengunduh dan mengompilasi perangkat lunak dari repositori — hanya proses pendaftaran yang dihentikan sementara.
Bagi yang khawatir dengan keamanan sistem, disarankan untuk selalu memeriksa kode sumber PKGBUILD sebelum mengompilasi paket dari AUR. Gunakan alat bantu seperti aurutils atau yay dengan mode verifikasi ketat, dan hindari menjalankan skrip dari sumber yang tidak dikenal.
Peristiwa ini menjadi pengingat bahwa kebebasan dan keamanan dalam ekosistem Linux sering kali berjalan beriringan — dan kadang harus dikorbankan sementara demi kebaikan bersama.