Arch Linux因恶意攻击潮暂停AUR新账号注册
紧急关停:AUR新注册功能被暂时冻结
近日,为了遏制上周在社区包仓库中爆发的恶意软件事件,Arch Linux 官方宣布暂时关闭Arch用户仓库(AUR)的新账号注册功能。
AUR是什么?为何存在风险?
AUR 是 Arch 用户寻找尚未进入官方仓库的软件的重要来源。它由社区维护且不提供官方支持,这意味着所有软件包均由用户自行提交,Arch 团队不对其安全性作出任何保证。
事件回顾:三波攻击接连上演
此次恶意软件攻击共分三个阶段,波及范围广泛:
- 第一波(6月11日):超过 1500 个软件包被感染。Arch 开发者 Jonathan Grotelüschen 在 aur-general 邮件列表中发起报告帖,号召社区举报受损包。随后,社区成员 a821 追踪到恶意 npm 包
js-digest,它被嵌入在安装后脚本中。开发者根据该标记在 GitHub 上的 AUR 镜像中检索,发现超过 850 个受影响包,并迅速清理。 - 第二波(6月13日):漏洞并未彻底清除。a821 发现新一轮攻击采用了不同的混淆手法——将字符串
"bun"拆分为'b''u''n'以规避检测。波及约 50 个软件包,包括浏览器包、大量nodejs-*条目、plasma6-applets-fancytasks、一个 NeoVim 插件以及 LibreWolf 扩展。 - 第三波(6月14日):攻击进一步升级,使用了更复杂的混淆技术。社区成员 Nicolas Boichat 借助本地运行的 Gemma E2B 模型发现了这批恶意包,其中包含
htbrowser-bin等可疑软件。
当前措施:注册冻结,核心仓库无恙
6月15日,Arch Linux 团队核心成员 Leonidas Spyropoulos 正式宣布,在清理工作完成之前,AUR 的新账户注册功能暂时关闭。官方强调:核心 Arch Linux 仓库并未受到此次事件影响,所有恶意提交均限于 AUR 范围。
用户如何自我保护?
- 更新前仔细检查:Arch 团队建议用户在每次更新前,务必核查每个 PKGBUILD 和安装脚本的变化,特别是近期。
- 可疑情况立即上报:如发现异常,请通过 aur-general 邮件列表回复AUR 报告主题帖进行举报。
- 保持警惕:由于攻击手法不断演变,切勿轻易信任未经官方审核的第三方包。
此次事件再次提醒广大用户:社区仓库虽资源丰富,但安全风险并存。只有保持谨慎的审查习惯,才能防患于未然。
关注微信号:智享开源 ,及时了解更新信息。
原文链接:https://feed.itsfoss.com/link/24361/17362134/arch-linux-aur-malware-flood
评论列表
发表评论
你必须 登录 才能发表评论.
为您推荐
请支持IMCN发展!
| 微信捐赠 | 支付宝捐赠 |
|---|---|
 |
 |
扫码关注公众号:智享开源最新科技信息
[blog_mailer_subscribe]
归档
近期评论
- · 热烈祝贺04-16
- · imcn成功拥抱人工...04-16
- · Zorin OS 很...04-16
- · elementary...12-09
- · 写个桌面启动器创建工...11-30
还没有任何评论,你来说两句吧!