Arch 用户仓库(Arch User Repository,简称 AUR)是由社区驱动的第三方软件源,为 Arch Linux 及其衍生发行版提供海量软件,一直被视为使用 Arch 的一大优势。 然而,Arch 社区近日披露,多个可疑账号向部分 AUR 软件包提交恶意修改,在安装受影响应用时暗中引入 NPM 包管理器,并进一步安装键盘记录器或信息窃取类恶意软件,引发供应链安全警报。
根据 Arch Linux 公布的事件说明以及 AUR 公共邮件列表的讨论,这一事件中共有 400 余个软件包被社区成员和维护者识别为存在恶意代码注入问题,目前已被集中排查和处置。 官方尚未表示这些软件包已全部直接删除,但负责维护工作的初级软件包维护者 Jonathan Grotelüschen 在邮件列表中表示,维护团队正在“努力重置或删除所有恶意提交并封禁相关账号”。
目前攻击者身份尚不明朗,尚无法确认这些恶意提交来自单一攻击者还是多个不法用户。 事件暴露出 AUR 作为高度开放的社区仓库,在账号管控、包维护权移交以及提交审核等环节存在被利用空间,尤其是被“收养”的孤儿软件包更容易在无人严密关注的情况下被植入恶意代码。
鉴于此次事件的影响范围和调查仍在进行中,有 Arch Linux 及其衍生发行版用户的安全专家建议,在清理工作彻底完成、官方进一步确认前,用户应谨慎更新系统,特别是在已安装 AUR 软件包的情况下尽量暂缓升级。 对依赖 AUR 的用户而言,除关注后续来自 Arch 官方与社区的通报外,也应尽快排查系统中安装的软件包是否包含在此次被点名的恶意列表中,并视情况采取卸载或重新部署等风险缓解措施。
本次事件再次凸显开源社区软件供应链的安全挑战:一方面,开放生态在软件可用性和更新速度上具有显著优势;另一方面,若缺乏足够的审核和监控机制,恶意代码也可能借助社区信任而潜入最终用户系统。 Arch 社区后续如何在维持 AUR 开放性的同时强化账号与提交审查、提升恶意更改发现效率,将成为行业观察的焦点之一。
了解更多:
https://lists.archlinux.org/archives/list/[email protected]/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/