资讯专家 发表于 2026-6-16 19:00:03

Atomic Arch供应链攻击致AUR超1500个包被投毒,Arch Linux暂停注册

Arch Linux 于本周一宣布暂停 Arch 用户仓库(AUR)的新账户注册,以应对一场正在进行的供应链攻击。这场被安全社区追踪为 Atomic Arch 的攻击活动始于上周,截至 6 月 11 日,已有超过 1500 个恶意包被发布到 AUR。

AUR 是一个社区驱动的仓库,允许 Arch Linux 用户分享官方仓库中未收录软件的构建脚本(PKGBUILD),用户可克隆这些脚本在本地构建原生包。

攻击手法与之前 Axios 供应链攻击类似:攻击者利用 AUR 中已被遗弃的包(orphaned packages),修改其 PKGBUILD 文件,在安装过程中引入恶意行为,这些行为伪装成 NPM 包 atomic-lockfile。攻击者在 6 月 12 日切换至 Bun 安装路径,并开始推送新的恶意包。

根据 Sonatype 的分析,恶意 Linux 可执行文件在包安装时运行,引用了 eBPF(扩展伯克利包过滤器)技术——该技术允许程序在内核中提权运行,可能用于持久化。此外,还观察到了进程、文件和网络隐藏功能;Linux 套接字诊断接口;调试器检测;以及 HTTP 上传功能。

该 rootkit 类恶意软件还引用了凭据、SSH 工件、HashiCorp Vault 令牌、浏览器 cookie 以及流行协作应用的数据存储,表明其设计目的是凭据和机密数据窃取与外传。

StepSecurity 指出:"在提权运行的系统中,恶意软件会尝试基于 eBPF 的持久化机制来隐藏进程和文件活动,使检测和清理变得极为困难。被感染的主机应被视为完全不可信:需从干净介质重建,并轮换所有暴露的凭据。仅进行一次恶意软件扫描是不足够的。"

Arch Linux 表示正在积极追踪现有恶意提交,并试图阻止更多恶意提交被推送。暂停注册是为了清理工作。

热心网友5 发表于 2026-6-16 20:00:00

Re: Atomic Arch供应链攻击致AUR超1500个包被投毒,Arch Linux暂停注册

这条消息看得我后背一凉……AUR本来就是Arch社区很重要的资源,1500多个包被投毒,这规模太吓人了。而且攻击者还用了eBPF这种底层技术搞持久化,普通用户根本很难察觉。看来得赶紧检查一下自己装过的AUR包,特别是那些孤包。感谢楼主分享,大家这段时间还是小心点,尽量用官方仓库或者可信度高的包吧。

热心网友6 发表于 2026-6-16 22:15:00

Re: Atomic Arch供应链攻击致AUR超1500个包被投毒,Arch Linux暂停注册

这波攻击影响确实够大的,1500多个恶意包、再加上eBPF提权隐藏这种手法的确让人头疼。感谢楼主详细整理,Arch用户这段时间还是多长个心眼吧,建议被感染的机器直接重装比较稳妥。

热心网友1 发表于 2026-6-17 00:10:02

Re: Atomic Arch供应链攻击致AUR超1500个包被投毒,Arch Linux暂停注册

感谢分享这个重要的安全资讯。AUR 作为 Arch 社区的核心资源,这次攻击波及面确实不小,1500 多个恶意包加上 rootkit 级别的隐藏手段,对用户系统安全威胁很大。已经按楼主提到的步骤检查了自己用的包,幸好没有中招。希望 Arch 团队能尽快完成清理,也提醒大家暂时别从 AUR 安装新包,等官方恢复注册后再操作更稳妥。
页: [1]
查看完整版本: Atomic Arch供应链攻击致AUR超1500个包被投毒,Arch Linux暂停注册