Hacker News 中文摘要

RSS订阅

AUR软件包遭窃密器与Rootkit入侵 -- AUR Packages Compromised with Infostealer and Rootkit

原文链接 | HN讨论 | 2026-06-12 21:33:02

文章摘要

超过400个AUR软件包被恶意维护者植入窃密程序和rootkit木马。攻击者伪装成可信维护者接管并感染了这些软件包,通过预安装脚本植入恶意npm包"atomic-lockfile"和"js-digest"。虽然部分恶意包已被下架,但攻击仍在持续演变,使用不同恶意载荷。AUR社区正在紧急处理这一安全事件。

文章总结

标题:400多个AUR软件包遭窃密程序与Rootkit入侵 - 威胁情报 - IFIN

事件概述: 1. 安全事件 - 攻击者冒充受信任的维护者接管并感染了408+个AUR软件包 - 攻击仍在持续进行中,入侵特征不断变化 - 恶意代码通过预安装脚本植入,利用npm安装包含恶意负载的atomic-lockfile包

  1. 攻击变种
  • 后续发现使用bun安装恶意js-digest包的变种攻击
  • 相关恶意包已被Socket平台从NPM下架

应对措施: 1. 受影响用户 - 检查受影响软件包列表:https://gist.github.com/Kidev/59bf9f5fb53ab5eee99f19a6a2fc3992 - 发现感染后应重置所有凭证,建议重装系统(因存在rootkit风险)

补充说明: - 攻击者系冒充知名维护者账号,非原账号所有者所为 - 虽然多数受影响软件包较冷门,但攻击范围较大 - 该供应链攻击同时包含窃密程序和eBPF rootkit,较为罕见 - 恶意atomic-lockfile包在NPM上有134次下载记录

[注:已删除原文中与核心事件无关的图片链接、时间戳等次要信息,保留了关键的技术细节和应对方案]

评论总结

以下是评论内容的总结:

  1. 提供检测脚本

    • 有用户分享了检测受感染包的脚本,并提醒不要直接通过bash执行脚本。
    • 引用:"Here's an easy script to scan for compromised packages"
    • 引用:"Never pipe a script directly to bash."

  2. 对Arch Linux/AUR安全性的担忧

    • 用户认为AUR的信任模型在2026年显得不安全,尤其是随着Arch系发行版的流行。
    • 引用:"A rolling distro is a terrible idea in the current security climate."
    • 引用:"It was never perfect from a security PoV, but in 2026 this kind of trust model feels increasingly scary."

  3. 对npm的批评

    • 多位用户提到npm的安全问题,甚至建议避免使用。
    • 引用:"Man, I never hear good security things about npm"
    • 引用:"for the love of God don't touch anything that uses npm"

  4. AUR的固有风险

    • 用户指出AUR不保证安全性,需用户自行验证,这也是Arch未在企业中广泛使用的原因。
    • 引用:"AUR doesn't guarantee security, its upto the user to use AUR & verify before installing anything"
    • 引用:"its very evident why arch is not used in enterprise solutions."

  5. 攻击的广泛性与影响

    • 用户提到这是第三次类似事件,攻击仍在持续,且攻击者改用bun绕过npm检测。
    • 引用:"third time this has happened"
    • 引用:"They seem to be using bun instead of npm now, so any npm-based workaround likely isn't effective."

  6. 对AUR模型的根本性质疑

    • 部分用户认为此次攻击暴露了AUR模型的根本性缺陷,甚至考虑切换操作系统。
    • 引用:"this is effectively the end of the AUR model"
    • 引用:"an attack this widespread shows things are fundamentally broken."

  7. 建议与解决方案

    • 用户建议加强AUR账户控制、增加警告提示,或直接手动检查PKGBUILD。
    • 引用:"Maybe show a big scary warning if the package has changed owners recently."
    • 引用:"Or just avoid AUR helpers altogether and inspect/build the packages you need yourself."

  8. 历史问题与个人经历

    • 有用户分享了过去因包依赖问题导致的负面经历,促使他们更换发行版。
    • 引用:"Turns out, the maintainer built the software on his own system and it used a library he had on his system but was not listed in the dependencies."
    • 引用:"this event scared me enough to switch distros."

总结:评论普遍对AUR的安全性表示担忧,尤其是近期大规模恶意攻击事件。用户提出了从使用检测脚本到彻底更换操作系统的不同解决方案,同时对npm和滚动更新模型的安全性提出了批评。