Arch Linux- ja Manjaro-käyttäjien suosimaan yhteisölliseen AUR-ohjelmistolähteeseen ujutettiin haittaohjelman lataavia ohjelmistopaketteja.

AURin valikoima koostuu käyttäjien lataamasta sisällöstä. Ohjelmistolähteen käyttö edellyttää erityistä varovaisuutta, sillä AURista ladattu paketti saattaa sisältää käytännössä mitä tahansa.

Paras tapa varmistua AURista ladatun paketin turvallisuudesta on tutustua muiden käyttäjien kommentteihin sekä tarkistaa sen kuvaustiedosto pkgbuild.

Tällä kertaa nimimerkki xeactor oli valinnut useamman orvon eli ohjelmistopaketin jolla ei ole aktiivista ylläpitäjää. Xeactor sisällytti orpojen kuvaustiedostoon käskyn, joka lataa ylimääräisen skriptin Pastebin-palvelusta. Kyseisen skriptin tarkoituksena oli kerätä tietoja käyttäjien laitteistosta.

Kerättyä tietoa oli todennäköisesti tarkoitus käyttää myöhemmin käyttäjän tietämättä taustalla tapahtuvaan kryptovaluutan louhimiseen, yhteisöpalvelu Redditissä epäillään.

Haittaohjelma oli ujutettu muun muassa Adoben Acrobat Reader -apuohjelman asentavaan acroread-pakettiin sekä kahteen muuhun, toistaiseksi tuntemattomaan pakettiin. Rikollisen käyttämä käyttäjätili on sittemmin hyllytetty.