아치리눅스의 사용자 저장소(AUR)는 누구나 패키지 빌드 스크립트를 올릴 수 있는 개방형 구조다. 바로 이 점이 최근 연이은 공격의 표적이 됐다. 공격자는 'firefox-patch'처럼 인기 소프트웨어를 사칭한 이름으로 패키지를 올리고, 빌드 과정에서 깃허브에 호스팅된 악성 코드를 내려받아 CHAOS RAT 같은 원격제어 악성코드를 심었다. AUR은 공식 저장소와 달리 코드 검수가 사실상 없고, 사용자가 PKGBUILD 스크립트를 신뢰해 그대로 실행하는 구조라 피해가 컸다. 핵심 교훈은 명확하다. AUR 헬퍼(yay 등)가 편하다고 빌드 스크립트를 확인 없이 설치하는 습관은 위험하며, 새로 올라온·관리자가 불분명한·평판 없는 패키지는 특히 경계해야 한다. 설치 전 PKGBUILD와 .install 파일을 직접 열어보고, 출처가 수상한 다운로드 URL이 있는지 점검하는 것이 최소한의 방어책이다. 커뮤니티 기반 생태계의 편리함 뒤에는 '신뢰를 스스로 검증할 책임'이 따른다는 점을 일깨운 사건이다.