🇨🇳cnBeta (Full RSS)•較早收集於 19h
Arch用戶倉庫爆出惡意軟體事件,超400個軟體包被清理

💡關鍵供應鏈安全警報:熱門Linux社群軟體庫發現基於NPM的惡意軟體。
⚡ 30-Second TL;DR
有什麼變化
超過400個AUR軟體包被惡意帳號入侵。
為什麼重要
此事件對依賴社群維護軟體包的開發者提出警示,強調在AI開發環境中進行嚴格依賴項審計的必要性。
下一步行動
審查您的本地開發環境依賴項,並避免在未經手動程式碼檢查的情況下安裝未經驗證的AUR軟體包。
誰應關注:Developers & AI Engineers
關鍵要點
- •超過400個AUR軟體包被惡意帳號入侵。
- •攻擊者利用NPM管理器安裝鍵盤記錄器與資訊竊取軟體。
- •此事件凸顯了社群驅動軟體庫在供應鏈安全上的重大漏洞。
🧠 深度解析
Web-grounded analysis with 13 cited sources.
🔑 增強重點摘要
- •此次攻擊利用了Arch用戶倉庫(AUR)中被「遺棄」的軟體包,攻擊者接管這些無人維護的專案,並修改其建置指令碼以植入惡意程式碼。
- •惡意軟體是一個Rust編寫的憑證竊取程式,若以root權限執行,還能載入一個eBPF rootkit以隱藏自身。它專門竊取開發者敏感資訊,包括瀏覽器Cookie、Electron應用程式(如Slack、Discord、Microsoft Teams)的會話資料、GitHub、npm、HashiCorp Vault代幣、OpenAI/ChatGPT憑證、SSH金鑰、Docker/Podman憑證及VPN設定檔。
- •攻擊者透過修改軟體包的PKGBUILD或.install指令碼,使其在建置過程中執行
npm install atomic-lockfile,進而載入並執行一個名為deps的惡意Linux ELF二進位檔案。 - •此次攻擊僅影響社群維護的AUR,Arch Linux的官方軟體倉庫並未受到波及。
- •此次惡意活動被Sonatype命名為「Atomic Arch」,並以Sonatype-2026-003775進行追蹤,其CVSS評分為8.7。
🛠️ 技術深入
- 惡意軟體類型:Rust編寫的憑證竊取程式,可選配eBPF rootkit功能。
- Rootkit機制:eBPF rootkit在核心層級運作,無需傳統核心模組即可隱藏程序和網路活動。
- 感染途徑:攻擊者接管AUR中被遺棄的軟體包,並修改其
PKGBUILD或.install指令碼。 - 惡意酬載傳遞:修改後的指令碼在建置時執行
npm install atomic-lockfile(版本1.4.2),該NPM套件包含一個preinstall鉤子,用於執行捆綁的Linux ELF二進位檔案deps。 - 目標資料:Chromium瀏覽器資料、Electron應用程式會話資料(Slack、Discord、Microsoft Teams)、GitHub、npm、HashiCorp Vault代幣、OpenAI/ChatGPT憑證、SSH金鑰、Docker/Podman憑證、VPN設定檔及Shell歷史記錄。
- 檢測資訊:主要酬載的SHA-256雜湊值為
6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b。 - 偽裝技術:攻擊者偽造Git提交元資料,使其看起來像是來自長期維護者的變更。
🔮 前景展望AI analysis grounded in cited sources
開源社群軟體庫將面臨更嚴格的安全審查。
此次大規模攻擊凸顯了社群驅動型軟體庫在供應鏈安全上的固有風險,可能促使開發者和使用者對此類資源的信任模型進行重新評估。
NPM等套件管理器將加速實施更嚴格的安全措施。
為應對近期一系列供應鏈攻擊,GitHub已宣布NPM v12將預設禁用依賴項指令碼的自動執行,以減少自動程式碼執行的攻擊面。
開發者工作站的安全性將成為供應鏈攻擊防禦的重點。
惡意軟體專門針對開發者憑證和敏感資訊,顯示攻擊者正將目標轉向開發環境,以期透過單點突破實現更廣泛的供應鏈感染。
⏳ 時間線
2018
AUR曾發生類似的接管廢棄軟體包的攻擊,影響一個PDF檢視器軟體包。
2025-09
Shai-Hulud蠕蟲對NPM生態系統發動供應鏈攻擊,感染超過500個套件。
2026-06-01
Shai-Hulud蠕蟲的新變種(Miasma和Hades)開始在NPM和PyPI生態系統中進行大規模協同攻擊。
2026-06-05
Miasma蠕蟲攻擊Microsoft的GitHub儲存庫,導致73個儲存庫被禁用。
2026-06-10
GitHub宣布NPM v12將在下個月(七月)推出安全更新,預設禁用依賴項指令碼的自動執行,以防範供應鏈攻擊。
2026-06-11
Arch用戶倉庫(AUR)惡意軟體事件爆發,超過400個軟體包被發現遭到惡意修改。
📎 來源 (13)
Factual claims are grounded in the sources below. Forward-looking analysis is AI-generated interpretation.
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: cnBeta (Full RSS) ↗



