Fijate que los paquetes de Arch no están firmados ... naturalmente eso uno lo sabe cuando instala (la extensión además te tira una pista) ... por lo que los ataques para gestores de paquetes, son perfectamente posibles ...  

http://www.cs.arizona.edu/stork/packagemanagersecurity/

Pero la desidia de los devs sobre implementar algún mecanismo para que nadie pueda atacar de forma invisible un mirror y replicar malware por todos lados no les importa ... ni remotamente diciendo cosas como "Minor performance issues interest me a hell of a lot more than package signing."

Comentan que faltan devs para encargarse del tema (pero crearon una versión de Hurd de Arch ... o sea what ? tiene más prioridad un kernel semimuerto que el gestor de paquetes ?) ... o que no respetaría la filosofía KISS (se puede hacerlo simple, tampoco es tanto código ni el mismo es un enmarañaje) .. pero bueno ..

Es algo que uno sabe cuando instala Arch, pero viendo comentarios de desarrolladores de Arch al respecto, no me agrada nada lo que piensan sobre este asunto ... que es *básico*

Saludos.

P.S : un ataque así no es para nada díficil, basta con cambiar checksums y con compilar un paquete con un agregado que despliegue una rootkit por ejemplo ... y bumpear la versión de ese paquete o esperar a que alguien lo instale ... el resto es historia