文章总结： 攻击者劫持400多个ArchLinuxAUR软件包，通过修改构建脚本植入Rust信息窃取程序和eBPFrootkit。此次攻击利用遗弃项目信任模型，窃取浏览器及云平台凭证。用户需核对受影响包列表，轮换全部密钥，并检查异常服务，若怀疑Root权限运行建议重装系统。 综合评分： 91 文章分类： 供应链安全,威胁情报,恶意软件,安全运营

---

超过400个Arch Linux AUR软件包遭劫持，用于部署信息窃取程序和eBPF rootkit

爱拍照的老李 爱拍照的老李

爱拍照的老李

2026年6月13日 09:00 湖北

在小说阅读器读本章

去阅读

导读

攻击者本周接管了Arch User Repository（AUR）中的400多个软件包，并重写了它们的构建脚本，以便在任何构建这些软件包的机器上安装凭据窃取器。

该恶意软件是一个Rust二进制文件，旨在收集开发者机密。当它落在根节点时，还可以加载 eBPF rootkit 来隐藏自己。AUR 是 Arch Linux 的社区包集合，与官方 Arch 仓库分开，后者未受影响。

如果在6月11日或之后安装或更新了AUR包，请在信任主机前将其与当前受影响包列表进行核对。名单庞大，仍在增长，尚未完整。

这次攻击针对的是信任模型，而不是软件缺陷。被泄露的包保留了他们的姓名、历史以及随之而来的信任。

整个包装看起来和用户打算安装的软件一模一样。没有漏洞利用，没有0day漏洞，也没有Arch系统被攻破的迹象。

攻击者采用了被遗弃的包，编辑了构建文件，并允许用户为其运行负载。Sonatype将该活动命名为Atomic Arch，发现他们关注的是孤立项目：那些维护者离开、任任何人采用的软件包。

他们还伪造了git提交元数据，使得这些更改看起来像是来自一位长期维护者，而一位Arch Linux可信用户后来确认该账户从未被攻破。

一旦包被采纳，其 PKGBUILD 或 .install 脚本会被编辑，在构建过程中运行 npm install atomic-lockfile，从而将恶意的 npm 包和几个合法包一起拉出以作掩护。该包 [email protected] 包含一个预安装钩子，运行名为 deps 的捆绑 Linux ELF。构建包，然后进行二进制运行。

向 Arch 邮件列表报告的确认示例包括 alvr 和 premake-git 包。

恶意软件的作用

独立研究员Whanos逆向工程了deps有效载荷，并描述了针对开发工作站和构建系统的Rust凭证窃取工具。恶意载荷会收集以下数据：

• 来自基于Chromium的浏览器（Chrome、Edge、Brave等）的Cookies、令牌和本地存储
• 来自Electron应用的会话数据，包括Slack、Discord和Microsoft      Teams。
• GitHub、npm 和 HashiCorp Vault 代币，以及 OpenAI/ChatGPT 持有人材料和账户元数据
• SSH 密钥、known_hosts 和 shell 历史
• Docker 和 Podman 凭证及 VPN 配置文件

被盗文件会通过HTTP发送给 temp.sh。命令和控制通过本地环回代理运行于 Tor 洋葱服务。

为了持久化，它安装了一个 systemd 服务，Restart=always。root时，它会在/var/lib/下复制自己，并在/etc/systemd/system/下写一个单元;作为普通用户，它使用主目录和 ~/.config/systemd/user/ 下的每个用户单元。无论如何，它都想回来。

早期的介绍夸大了 eBPF rootkit。它是可选的，只有当二进制文件已经具备root和相应能力时才加载。它不用于获得特权。

激活后，它会通过固定的 BPF 映射（分别命名为 hidden_pids、hidden_names 和 hidden_inodes）隐藏恶意软件自身的进程、进程名称和套接字 inode，并阻止尝试附加调试器。

一旦有效载荷运行，仅仅移除AUR包是不够的。包管理器可以删除它已知的文件。但无法证明机器在支持rootkit的负载执行后是干净的。

该二进制文件还会设置第二个文件，关联Monero-Wallet-GUI，分析将其标记为可能的未分析加密矿工。把eBPF根套件装在一个猛攻抓取的盗贼上很不寻常，这也是为什么这个比耸肩更值钱。

影响范围

Sonatype的首次报告统计了20多个被劫持的包裹。一天之内，社区追踪器和Arch aur-general讨论串就编目了400多个，其中一个主列表通过grep处理AUR git镜像整理出来，大约有408个，合并后的列表还在不断攀升。

atomic-lockfile npm包本身在Socket上每周只显示了134次下载，之后就从注册表中拉出来了，所以真正的风险在于AUR的构建路径，而不是npm安装。

第二波使用 bun install js-digest，从一组独立账户推送，社区追踪器与 atomic-lockfile 关联到同一个 npm 发布者。它的有效载荷是一个不同的二进制文件，是基于哈希的独立ELF，社区也标记为恶意。

这波浪潮的传播范围仍在统计中。

早期的拆解显示了几十个包，而后来基于grep的AUR镜像搜索则返回了更高的数字，要同时检查atomic-lockfile和js-digest。

安全建议

Arch维护者正在重置恶意提交，封禁账户，并要求用户在邮件列表线程中持续举报可疑包。将已发布的受影响包列表视为不完整。

如果有被标记的包运行，应视为当前凭证已泄露。建议轮换所有被窃取者接触过的凭证，包括：浏览器会话、SSH密钥、GitHub和npm令牌、Slack、Teams和Discord会话、Vault令牌、Docker和Podman凭证，以及任何云密钥。

检查未知的systemd服务（包括system units和~/.config/systemd/user/）以及/var/lib/下的意外文件。检查 /sys/fs/bpf/ 里的maps hidden_pids、hidden_names 和 hidden_inodes。检查Tor的外发连接和上传服务。

如果软件包以root身份运行，假设rootkit存在，然后从可信介质重新安装。否则无法信任这个系统。

技术报告：

《AUR恶意软件的初步分析》

https://ioctl.fail/preliminary-analysis-of-aur-malware/

新闻链接：

https://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

1. 超过400个Arch Linux AUR软件包遭劫持，用于部署信息窃取程序和eBPF rootkit

攻击者本周接管了Arch User Repository（AUR）中的400多个软件包，并重写了它们的构建脚本，以便在任何构建这些软件包的机器上安装凭据窃取器。

🔗https://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html

2. 黑客在Linux登录软件中植入后门，潜伏近十年

黑客组织在Linux登录系统内部隐藏了近十年，Sygnia将该组织命名为Velvet Ant，称他们对决定谁登录的PAM和OpenSSH组件进行了后门，将访问权限植入了普通清理无法到达的地方。

🔗https://thehackernews.com/2026/06/china-linked-hackers-backdoored-linux.html

3. 黑客利用阿联酋-印度外交诱饵，通过Google Sheets分发SHEETCREEP RAT

一个被追踪为SHEETCREEP的活跃间谍活动利用阿联酋-印度外交主题的ISO诱饵传递紧凑的C#远程访问木马（RAT），并将Google Sheets作为其命令与控制（C2）通道。

🔗https://gbhackers.com/uae-india-diplomatic-lure/

4. OceanLotus：从外部间谍活动转向国内目标

ESET研究人员称OceanLotus组织运营重点发生了转变，越来越重视国内间谍活动。研究人员识别出涉及SPECTRALVIPER后门的两个明显行动：一次针对越南股票投资者的供应链攻击，以及针对越南基础设施和交通建设公司的长期间谍行动。

🔗https://www.welivesecurity.com/en/eset-research/oceanlotus-external-espionage-domestic-targeting/

5. 与伊朗有关联的Handala入侵加州水务公司

亲伊朗组织Handala通过一个暴露的GPS工具入侵了Cal Water，获取了200万客户的账单数据，泄露了5GB数据。

🔗https://securityaffairs.com/193565/uncategorized/iran-linked-handala-breached-a-california-water-utility-it-could-have-done-worse-and-it-knows-that.html

6. 黑客滥用合法NinjaOne RMM软件绕过传统恶意软件检测

一个新记录的钓鱼攻击活动正在使用合法的远程管理工具，悄无声息地接管受害者的电脑，而没有部署任何传统恶意软件。

🔗https://cybersecuritynews.com/hackers-abuse-legitimate-ninjaone-rmm-software/

7. Fancy Bear黑客滥用EdgeRouters和云服务发起隐秘网络攻击

Fancy Bear威胁组织（APT28，隶属于俄罗斯军事情报部门GRU 26165部队）一直在悄悄改变其网络攻击操作方式。该组织不再依赖传统基础设施，而是劫持家庭路由器和消费设备，构建几乎无法追踪的影子网络。

🔗https://cybersecuritynews.com/fancy-bear-hackers-abuse-edgerouters-and-cloud-services/

一般威胁事件

General Threat Incidents

1. GitHub将更新npm以阻止软件供应链攻击

NPM（GitHub的一部分）宣布了npm包管理器的新版本，包含多项安全改进，包括禁用安装脚本。

🔗https://www.infosecurity-magazine.com/news/github-update-npm-supply-chain/

2. 诺和诺德披露临床试验数据泄露事件

丹麦制药巨头、全球领先的胰岛素制造商诺和诺德（Novo Nordisk）披露了一起数据泄露事件，影响了临床试验中的患者信息。

🔗https://www.cybermaterial.com/p/novo-nordisk-discloses-clinical-trials

3. 勒索软件支付加密货币洗钱平台AudiA6被FBI和欧洲刑警组织捣毁

暗网洗钱平台AudiA6的域名在FBI、欧洲刑警组织及其他机构的联合行动中被查封，嫌疑人被逮捕。

🔗https://www.infosecurity-magazine.com/news/ransomware-crypto-laundering/

4. Qilin勒索软件组织利用Chec Point VPN身份验证绕过（CVE-2026-50751）漏洞

Check Point远程访问VPN中的一个CVSS评分为9.3的漏洞允许未认证攻击者通过提供精心构造的IKEv1 VendorID有效载荷绕过证书验证——该漏洞在补丁发布前被利用了32天，其中一条已确认的Qilin ransomware攻击链在入侵后被使用。

🔗https://latesthackingnews.com/2026/06/12/check-point-vpn-authentication-bypass-cve-2026-50751-client-controlled-ikev1-auth-flipped-by-ransomware-affiliate/

5. 黑客利用OnyxC2恶意软件即服务从210个应用程序中窃取凭据

一款名为OnyxC2的新型危险凭据窃取工具已在网络犯罪地下世界出现，这表明即使是低技能攻击者也能轻松开展专业的黑客操作。该恶意软件以每月250美元的完整套餐形式出售，为购买者提供了从全球受害者那里悄悄获取登录数据所需的一切。

🔗https://cybersecuritynews.com/hackers-use-onyxc2-malware-as-a-service/

6. 谷歌起诉中国短信钓鱼网络，指控其在钓鱼活动中使用Gemini AI

谷歌周五表示，正在对一个中国网络犯罪组织采取法律行动，指控其使用Gemini人工智能（AI）代理向美国人发送钓鱼短信。

🔗https://thehackernews.com/2026/06/google-sues-chinese-smishing-network.html

7. 恶意npm活动窃取SSH密钥、API令牌、云凭据和钱包机密

新一波供应链攻击正让区块链开发者、Web3团队和云工程师面临严重风险。研究人员发现，这是一场协调的活动，涉及多个恶意包在 npm 注册表上，每个包都设计用来在开发者安装敏感机密的瞬间悄悄窃取。

🔗https://cybersecuritynews.com/malicious-npm-campaign-steals-ssh-keys-api-tokens/

漏洞事件

Vulnerability Incidents

1. LangGraph漏洞链使自托管AI代理面临远程代码执行（RCE）风险

网络安全研究人员披露了影响LangGraph的三个现已修复的安全漏洞细节，其中包括一个可能导致远程代码执行（RCE）的关键漏洞链。

🔗https://thehackernews.com/2026/06/langgraph-flaw-chain-exposes-self.html

2. Oracle PeopleSoft RCE漏洞在持续的ShinyHunters活动中被用作0day武器

ShinyHunters在补丁发布前利用一个关键的Oracle PeopleSoft零日漏洞入侵了100多个组织，其中大部分是大学。Mandiant和谷歌威胁情报小组于6月11日发布了对ShinyHunters活跃活动的分析，而Oracle最终针对被利用漏洞发布公告的时间是前一天。

🔗https://securityaffairs.com/193543/cyber-crime/oracle-peoplesoft-rce-flaw-used-as-zero-day-in-ongoing-shinyhunters-campaign.html

3. 攻击者利用Outlook和Word漏洞运行恶意代码

微软披露了一组影响Outlook和Word的关键远程代码执行（RCE）漏洞，这些漏洞可能允许攻击者在目标系统上执行任意代码。这些漏洞为CVE-2026-45456、CVE-2026-45458和CVE-2026-47635，于2026年6月9日发布，严重程度高，CVSS评分为8.4。

🔗https://gbhackers.com/attackers-can-exploit-microsoft-outlook-and-word-flaws/

4. Android版Microsoft Teams漏洞允许攻击者泄露敏感数据

微软披露了Microsoft Teams for Android中的一个重大安全漏洞，该漏洞可能允许已认证的攻击者通过网络泄露敏感信息。该漏洞被追踪为CVE-2026-42835，于2026年6月9日正式发布，严重程度被评为“重要”。

🔗https://cybersecuritynews.com/microsoft-teams-for-android-vulnerability/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 爱拍照的老李 爱拍照的老李《超过400个Arch Linux AUR软件包遭劫持，用于部署信息窃取程序和eBPF rootkit》