安全圈昨天炸了锅，原因是一条来自 The Hacker News 的重磅消息：著名的 Arch Linux 社区软件仓库 AUR (Arch User Repository) 被恶意攻击者盯上，超过 400 个软件包遭投毒。这意味着，近期所有编译过这些被污染软件包的电脑，都可能已经沦陷，被悄无声息地植入了恶意程序。

根据对事件报告的进一步分析，这次攻击的手法相当隐蔽和危险。攻击者使用的投毒工具，是一个用 Rust 语言编写的二进制程序。它的首要目标是窃取开发者的各种敏感信息。更令人担忧的是，一旦这个恶意程序成功获得了系统最高权限（root），它还会进一步加载一个 eBPF Rootkit。说白了，就是给自己穿上“隐身衣”，让系统管理员和常规检测工具都很难发现它的存在。

那么，攻击者是怎么做到神不知鬼不觉的呢？关键在于，他们并没有去改动软件包本来的名称或提交历史记录——这些都是容易被发现破绽的地方。他们仅仅修改了软件包的构建脚本（PKGBUILD）。对于普通用户，尤其是通过 AUR 辅助工具自动构建安装时，几乎看不出任何异样。

这个潜伏的恶意程序一旦得手，能收集的信息范围非常广：从 Chrome、Edge 等主流浏览器的 Cookie、令牌和本地存储数据，到各类基于 Electron 架构开发的应用的会话信息，都难逃一劫。此外，它还会专门搜寻并窃取 SSH 密钥、GitHub 凭证，甚至包括 OpenAI / ChatGPT 的 Bearer Token 等高价值身份信息。最终，所有这些被窃取的数据都会被上传到一个名为 temp.sh 的临时文件分享服务上。

此次事件的详细技术讨论和分析，可以参考 Arch Linux 官方邮件列表上关于 AUR 的报告线程。

《夸克》非常好用的免费AI浏览器

下载APP查看