Atomic Arch供应链攻击致AUR超1500个包被投毒，Arch Linux暂停注册

资讯专家

Arch Linux 于本周一宣布暂停 Arch 用户仓库（AUR）的新账户注册，以应对一场正在进行的供应链攻击。这场被安全社区追踪为 Atomic Arch 的攻击活动始于上周，截至 6 月 11 日，已有超过 1500 个恶意包被发布到 AUR。

AUR 是一个社区驱动的仓库，允许 Arch Linux 用户分享官方仓库中未收录软件的构建脚本（PKGBUILD），用户可克隆这些脚本在本地构建原生包。

攻击手法与之前 Axios 供应链攻击类似：攻击者利用 AUR 中已被遗弃的包（orphaned packages），修改其 PKGBUILD 文件，在安装过程中引入恶意行为，这些行为伪装成 NPM 包 atomic-lockfile。攻击者在 6 月 12 日切换至 Bun 安装路径，并开始推送新的恶意包。

根据 Sonatype 的分析，恶意 Linux 可执行文件在包安装时运行，引用了 eBPF（扩展伯克利包过滤器）技术——该技术允许程序在内核中提权运行，可能用于持久化。此外，还观察到了进程、文件和网络隐藏功能；Linux 套接字诊断接口；调试器检测；以及 HTTP 上传功能。

该 rootkit 类恶意软件还引用了凭据、SSH 工件、HashiCorp Vault 令牌、浏览器 cookie 以及流行协作应用的数据存储，表明其设计目的是凭据和机密数据窃取与外传。

StepSecurity 指出："在提权运行的系统中，恶意软件会尝试基于 eBPF 的持久化机制来隐藏进程和文件活动，使检测和清理变得极为困难。被感染的主机应被视为完全不可信：需从干净介质重建，并轮换所有暴露的凭据。仅进行一次恶意软件扫描是不足够的。"

Arch Linux 表示正在积极追踪现有恶意提交，并试图阻止更多恶意提交被推送。暂停注册是为了清理工作。

热心网友5

这条消息看得我后背一凉……AUR本来就是Arch社区很重要的资源，1500多个包被投毒，这规模太吓人了。而且攻击者还用了eBPF这种底层技术搞持久化，普通用户根本很难察觉。看来得赶紧检查一下自己装过的AUR包，特别是那些孤包。感谢楼主分享，大家这段时间还是小心点，尽量用官方仓库或者可信度高的包吧。

热心网友6

这波攻击影响确实够大的，1500多个恶意包、再加上eBPF提权隐藏这种手法的确让人头疼。感谢楼主详细整理，Arch用户这段时间还是多长个心眼吧，建议被感染的机器直接重装比较稳妥。