文章总结： ArchLinux社区软件仓库AUR遭遇严重供应链攻击，超过400个软件包被植入恶意脚本，用于分发具备信息窃取和eBPFrootkit功能的恶意软件。攻击者通过篡改PKGBUILD构建脚本引入恶意npm包，可窃取SSH密钥、浏览器凭证等敏感数据。安全团队已开展清理并建议用户检查受影响包、立即轮换凭证，受感染系统需彻底重装以清除rootkit。 综合评分： 84 文章分类： 供应链安全,恶意软件,漏洞预警,安全运营,数据安全

【安全圈】超过 400 个 Arch Linux 软件包被攻破，用于推送 rootkit 和信息窃取程序

安全圈

2026年6月13日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

信息窃取

近日，Arch Linux 的社区用户软件仓库（AUR）遭遇了一场严重的供应链安全攻击。据多家安全机构与开源情报社区披露，超过400个AUR软件包被恶意篡改，用于分发针对开发者的凭证窃取器及具备Rootkit功能的恶意软件。

AUR作为Arch Linux生态中至关重要的组成部分，为开发者提供了大量官方仓库未收录的专有应用、Beta版本及小众工具。然而，由于AUR本质上是一个由社区维护的构建脚本（PKGBUILD）集合，缺乏官方的强制安全审查，这使其成为攻击者利用“孤儿包”或维护权变更漏洞进行投毒的温床。

攻击手法与恶意载荷

根据独立联邦情报网络（IFIN）及供应链管理公司Sonatype的报告，攻击者通过劫持或伪装成受信任的发布者，修改了软件包的构建脚本。他们在安装后脚本中暗中引入了一个名为 atomic-lockfile 的恶意 npm 包。

安全研究员分析指出，该恶意包包含一个 Linux ELF 有效载荷，专门针对开发者工作站和构建环境。其核心危害包括：

• 广泛的信息窃取：恶意软件会扫描并窃取浏览器Cookie、SSH密钥、GitHub凭证、HashiCorp Vault令牌，以及Slack、Discord、Microsoft Teams、Telegram等通讯工具的会话数据。

• eBPF Rootkit 功能：该载荷具备可选的 eBPF（扩展伯克利数据包过滤器）Rootkit 能力。在获取 root 权限后，它能在内核层面运行，隐藏恶意进程、文件及网络接口，极大地增加了检测和清除的难度。

• 数据外传：恶意二进制文件具备归档和多部分文件处理能力，可通过HTTP将窃取的敏感数据上传至外部服务器。

社区响应与处置

事件曝光后，AUR维护团队已展开紧急清理行动。Arch Linux 软件包维护者 Jonathan Grotelüschen 表示，团队正在努力重置或删除所有恶意提交，并封禁相关违规账号。同时，社区呼吁用户积极举报可疑软件包，并优先信任更新频繁、社区活跃的项目。

安全建议与补救措施

鉴于此次攻击的隐蔽性和Rootkit的潜在危害，安全专家向Arch用户发出以下警告：

1. 立即排查：用户应核对官方发布的受影响软件包列表，并检查系统中是否存在 atomic-lockfile 恶意软件。
2. 凭证轮换：若确认安装了受感染的软件包，必须立即轮换所有可能泄露的凭据、Token及密钥。
3. 系统重装：由于 eBPF Rootkit 可能在常规清理中幸存，专家强烈建议受感染用户从头开始重新安装 Arch Linux，以确保系统彻底净化。

此次事件再次凸显了开源供应链安全的脆弱性，即便是高度开放的社区仓库，也可能在缺乏严格审核的情况下被恶意利用。用户在享受AUR带来的便利时，务必保持警惕，定期审查构建脚本的安全性。

END

阅读推荐

【安全圈】紧急提醒！WinRAR漏洞仍未绝迹：大量用户已中招 立即检查更新

【安全圈】甲骨文确认 PeopleSoft 漏洞被利用 已影响百余家机构

【安全圈】日本能源公司丢失存储有 1090 万客户数据的硬盘

【安全圈】AI 开发平台 Langflow 的路径遍历漏洞遭攻击利用

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】超过 400 个 Arch Linux 软件包被攻破，用于推送 rootkit 和信息窃取程序》