年Arch Linux AUR投毒事件解析：400个恶意软件包深度报告

又是一记警钟。就在昨天，Arch Linux社区传出一个令人不安的消息：其用户仓库AUR（Arch User Repository）遭到恶意软件包投毒。据The Hacker News报道，超过400个软件包被污染，任何下载并构建这些软件包的计算机，都有可能被植入后门。

这场攻击的狡猾之处在于其隐蔽性。攻击者并未大张旗鼓地更改软件包名称或历史记录，而是极其精准地修改了构建脚本。这使得污染行为极难被普通用户察觉。其核心武器是一个用Rust编写的二进制程序，专门窃取开发者电脑里的敏感信息。

一旦运行，这个恶意程序就会开始大肆搜刮数据。从Chrome、Edge等主流浏览器的Cookie、令牌和本地存储数据，到基于Electron架构的应用会话信息，都在其窃取范围之内。更危险的是，它还会扫描系统，盗取SSH密钥、GitHub凭证，甚至包括OpenAI/ChatGPT的Bearer Token。所有这些被窃取的数据，最终都会被上传至一个名为temp.sh的临时文件共享服务。

如果攻击者成功获得了root权限，情况会变得更加棘手。此时，它会加载一个eBPF Rootkit来隐藏自身的进程和网络活动，实现深度潜伏。

参考：