Arch Linux AUR 供應鏈攻擊擴大:超過 400 個套件遭植入惡意程式,開發者工作站成高風險目標
這起事件已經足以列入今年 Linux 社群最值得警戒的供應鏈攻擊案例之一。
Arch Linux 的 AUR(Arch User Repository)長期是社群最有彈性的擴充入口,也一直是風險相對外露的信任鏈節點。這次出事的位置正好打在最敏感的地方。
攻擊者接手 AUR 中部分缺乏維護的「孤兒套件」,再修改 PKGBUILD 或安裝流程,讓使用者在建置或安裝套件時,自動拉下帶有惡意程式碼的 NPM 套件,進一步執行 Linux 惡意程式。
先講結論:官方 Arch Linux 套件庫沒有中招,受影響的是 AUR。
問題不在 Arch 官方發版流程被攻破,問題在社群套件供應鏈的維護斷點被惡意使用。
目前公開資訊顯示,第一波揭露時,社群已盤點出超過 400 個遭竄改的 AUR 套件。後續調查又把規模往上推,Sonatype 提到受影響套件總數可能接近 1,500 個,代表這很可能不是單次試探,而是一段持續擴張的攻擊活動。Phoronix 6 月 12 日的報導也提到,Arch Linux 維護者當時已經開始重設或刪除惡意內容,並封鎖相關帳號。
這波攻擊之所以危險,在於它利用的是很多人平常最習慣、也最少懷疑的安裝動作。這就跟之前利用 NPM 套件進行惡意植入一樣,或許之前是一場測試?也可能是同一批人所為?攻擊者在部分套件流程中透過 NPM 下載惡意套件 atomic-lockfile。後續第二波活動又改走 Bun 安裝路徑,並改用 js-digest、lockfile-js 之類的惡意依賴散布這些程式。
它顯示攻擊者不是隨便塞一包惡意檔案就跑,而是持續調整投遞路徑與依賴組合,目標很明確:提高這些惡意程式的存活率,繞過既有偵測,盡量黏進開發者日常的 workflow。(所以是一個商業職場失意的軟體開發工程師對於其他開源工具的復仇嗎? XD)
研究人員分析指出,相關惡意程式會蒐集協作與通訊工具資料,以及 GitHub、NPM、HashiCorp Vault 權杖、SSH 金鑰、Docker 或 Podman 憑證、VPN 設定檔等敏感資訊。
這波 AUR 事件和近年 NPM、PyPI、XZ Utils、CI 外洩案例其實都很雷同:開發環境已經是駭客入侵的主戰場,原本對於開源環境的信任鏈上的每一個小缺口都可能變成駭客的大型入口。
消息來源:
https://www.phoronix.com/news/Arch-Linux-AUR-400-Compromised
