继上周大规模清理后,Arch Linux的用户软件仓库AUR在短短24小时内再次遭遇恶意代码攻击。此次攻击手法更为隐蔽,多个常用软件包受到影响,引发了开源社区对供应链安全的新一轮担忧。

开发者报告显示,新一批被污染的软件包涉及多个关键领域。其中包括多个Node.js软件包、一个Plasma 6桌面环境的小程序、部分Firefox 浏览器相关扩展包、Aura浏览器组件,以及一个NeoVim文本器插件。这些软件包均被检测出含有经过复杂混淆处理的恶意代码。
攻击手法升级,检测难度加大
与上一轮攻击相比,此次恶意行为采用了更高级的代码混淆技术。攻击者将恶意逻辑巧妙地穿插在Bun命令执行流程中,使得常规代码审查难以发现异常。这种隐蔽性更强的攻击方式,甚至需要借助本地运行的Gemma E2B AI模型进行辅助分析才能被识别,凸显了当前开源软件供应链面临的严峻挑战。
维护团队紧急响应与用户防护建议
发现问题后,AUR维护团队迅速采取了应对措施。所有已知受影响的软件包已被及时清理,相关恶意提交记录被重置,涉事账号也已被封禁。团队目前正在研究如何加强预提交阶段的安全审核机制,以防止类似事件再次发生。
对于普通用户而言,安全专家给出了明确的防护建议。由于日常使用yay等AUR助手工具直接安装软件包会面临较高风险,建议近期谨慎进行系统更新,在安装任何软件前务必手动审查PKGBUILD构建文件的内容。保持警惕并采取预防性措施,是当前保护系统安全的最有效方法。
