快科技6月15日消息,Arch Linux AUR 6月12日刚遭遇了其历史上最大规模的恶意软件投毒:超1500个软件包被植入窃密程序。
就在开发者宣布清理完毕的24小时内,AUR再次遭到攻击。新一轮攻击采用代码混淆技术,恶意行为更加隐蔽。
开发者a821在6月13日晚报告发现新一批被污染包。多个Node.js软件包、一个Plasma 6小程序、部分Firefox相关包、Aura浏览器,以及一个NeoVim插件,均检测出经过混淆的恶意代码。
不久后,开发者Nicolas Boichat利用本地运行的Gemma E2B AI模型,发现了更隐蔽的新一波恶意包。
这批攻击将恶意逻辑穿插在Bun命令执行流中,混淆手法比第一波更复杂。发现问题后,维护团队很快处理了所有已知受影响的包,但第二波攻击仍引起社区警觉。
目前受影响软件包已被清理,AUR维护团队已重置所有恶意提交并封禁相关账号,正研究加强预提交安全审核机制。
日常使用yay等AUR助手直接安装包的用户面临较高风险,建议近期谨慎更新,安装前手动审查PKGBUILD文件。
