Arch Linux AUR 遭供应链攻击,400+ 软件包被劫持植入 Rust 凭证窃取器与 eBPF rootkit,攻击者利用废弃软件包的信任关系篡改构建脚本。
📝 详细摘要
文章报道了一起针对 Arch Linux AUR 的大规模供应链攻击。攻击者通过接管 400 余个废弃软件包(孤儿项目),篡改其 PKGBUILD 构建脚本,诱使用户在构建时执行恶意负载。恶意程序为 Rust 编写的凭证窃取器,可窃取浏览器 Cookie、GitHub/npm/Vault 令牌、SSH 密钥、Electron 应用会话数据等,并在获取 root 权限后加载 eBPF rootkit 实现自我隐藏与持久化。文章详细分析了恶意软件行为、攻击手法(伪造 git 提交元数据、内存驻留)、影响范围(第二波攻击使用 js-digest 包),并给出了具体的核查与处置建议。事件被 Sonatype 追踪为 Sonatype-2026-003775(CVSS 8.7),Arch 官方仓库未受影响。
💡 主要观点
- 攻击者利用 AUR 信任模型的缺陷,劫持废弃软件包而非利用软件漏洞。 被劫持的软件包保留原有名称、历史记录及信任关系,仅构建指令被篡改,用户构建时自动执行恶意负载,属于典型的供应链攻击。
💬 文章金句
- 此次攻击针对信任模型而非软件漏洞——被劫持软件包保留原有名称、历史记录及既有信任关系,仅构建指令遭篡改。
- 陷阱隐藏在构建方案中,使得软件包外观与用户预期安装的完全一致,既非漏洞利用也非 0Day 攻击。
- 事件暴露出 AUR 仍过度依赖软件包名称和历史记录,而非当前维护者可信度。
📊 文章信息
AI 初评:86
来源:FreeBuf
作者:FreeBuf
分类:软件编程
语言:中文
阅读时间:10 分钟
字数:2384
标签: 供应链攻击, 安全, Arch Linux, AUR, 恶意软件分析