В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, выявлены три вредоносных пакета firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, содержащие модифицированные сборки браузеров Firefox, Librewolf и Zen. Имена пакетов напоминали легитимные пакеты firefox-bin, librewolf-bin и zen-browser-bin, поддерживаемые энтузиастами в AUR.
В пакетах в файле PKGBUILD присутствовала ссылка на патчи, загружаемые из внешних репозиториев на GitHub. Патчи вносили изменение в установочный процесс, приводящее к запуску скрипта на языке Python для установки трояна Chaos. Троян позволял получить удалённый доступ к системе, отправлять на внешний сервер конфиденциальные файлы и выполнять команды, например, для майнинга криптовалюты. Вредоносный исполняемый файл размещался как /usr/local/share/systemd-initd и запускался при помощи сервиса custom-initd.service, копируемого в каталог с systemd. При отсутствии прав root во время установки троян помещался в домашний каталог пользователя (~/.local/share/systemd-initd).
Вредоносные пакеты были размешены в репозитории AUR 16 июля примерно в 23 часа (MSK). Для продвижения вредоносных пакетов 18 июля в 15 часов (MSK) была развернута спамерская кампания. Например, для стимулирования установки в примечании к сборке с браузером Zen было отмечено решение критических проблем со стабильностью и отрисовкой, а также устранение утечек памяти.
Пакеты были удалены администраторами репозитория 18 июля в 19 часов (MSK). Почти сразу пользователи репозитория обратили внимание на ещё четыре вредоносных пакета minecraft-cracked, ttf-all-ms-fonts, ttf-ms-fonts-all и vesktop-bin-patched, размещённых под другой учётной записью примерно в 21 час 18 июля (MSK). На момент написания новости данные пакеты уже удалены из репозитория.