对于使用 Arch Linux 的用户来说,软件仓库 AUR 的安全性一直备受关注。近日,该仓库遭遇了大规模恶意投毒事件,超过 400 个软件包被植入恶意程序,所有编译这些软件包的电脑都可能面临被攻击的风险。用户不禁要问:这次攻击是如何实施的?哪些数据面临泄漏?又该如何防御?

攻击者利用 Rust 程序投毒,修改构建脚本
据安全攻击者使用了一个用 Rust 编写的二进制程序进行投毒,专门针对开发者环境。该程序能够绕过常规检测,因为它仅修改了构建脚本,而保留了软件包的原有名称和历史记录,使得普通用户几乎无法察觉异样。一旦用户编译了被投毒的软件包,恶意程序便会开始在系统中活动。更严重的是,如果攻击者取得了 root 权限,还会加载 eBPF Rootkit 来隐藏自身,从而长期潜伏。
窃取范围广泛:从浏览器 Cookie 到 AI 工具凭证
被投毒的恶意程序具有强大的信息窃取能力。它能够收集 Chrome、Edge 等浏览器的 Cookie、Token 和本地存储数据,读取 Electron 架构应用中的会话信息,并窃取 SSH 密钥、GitHub 凭证以及 OpenAI / ChatGPT Bearer Token 等关键数据。所有窃取的信息会被上传至 temp.sh 平台。这意味着,不仅个人账号可能被盗,连开发者的代码仓库和 AI 工具额度都可能面临威胁。
超 400 个软件包被投毒,影响范围待评估
本次攻击波及了 超过 400 个软件包,规模在 AUR 历史攻击中较为罕见。由于投毒方式隐蔽,受影响的软件包清单仍在整理中。Arch Linux 项目团队已经发布安全通告,建议用户暂停使用 AUR 进行编译,直到风险排查完毕。对于已经编译过未知软件包的用户,建议立即检查系统中是否存在可疑进程,并修改所有重要密码和 API Key。
