2026-06-15 04:55:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2026年6月ArchLinux用户仓库遭大规模供应链攻击，超400个软件包被劫持，攻击者通过接管孤儿项目修改构建脚本，在安装过程中植入Rust窃密程序与eBPFrootkit。恶意软件窃取浏览器凭证、开发工具令牌及系统文件，并通过Tor传输数据。建议用户检查6月11日后安装的AUR包、轮换所有凭证，若以root权限运行需重装系统。 综合评分： 85 文章分类： 漏洞预警,恶意软件,供应链安全,应急响应,威胁情报

cover_image

超400个Arch Linux软件包遭劫持，部署窃密程序与eBPF Rootkit

骨哥说事骨哥说事

骨哥说事

2026年6月13日 09:57 上海

在小说阅读器读本章

去阅读

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

防走失：https://gugesay.com/

不想错过任何消息？设置星标↓ ↓ ↓

攻击者本周控制了 Arch 用户软件仓库（Arch User Repository, AUR）中的 400 多个包，并重写了它们的构建脚本，以便在任何构建这些包的机器上安装凭据窃取程序。

该恶意软件是一个 Rust 二进制文件，旨在窃取开发者机密。当它以 root 权限运行落地时，还可以加载一个 eBPF 内核态 Rootkit 以隐藏自身。AUR 是 Arch Linux 的社区软件包集合，独立于未受影响的官方 Arch 软件仓库。

如果你在 6 月 11 日当天或之后安装或更新了任何 AUR 包，请在信任该主机前，对照当前的受影响软件包列表进行检查。受影响的软件包名称列表很长，仍在不断增加，并且目前尚不完整。

这次攻击瞄准的是信任模型，而非软件漏洞。被劫持的包保留了它们的名字、历史记录以及随之而来的信任。只有构建说明被更改了。

陷阱隐藏在”食谱”（构建脚本）里，使得软件包本身看起来和用户想要安装的软件一模一样。没有利用漏洞，没有零日漏洞，也没有迹象表明 Arch 自身的系统被攻破。

攻击者接管了被遗弃的软件包，编辑了构建文件，然后让用户为他们运行Payload。 Sonatype（将该活动命名为 Atomic Arch）发现他们瞄准了”孤儿”项目：那些维护者已经离开、无人接管、任何人都可以（通过申请）接管的软件包。

他们还伪造了 git 提交元数据，使更改看起来像是来自一位长期维护者，一个后来由 Arch Linux “信任用户”确认从未被入侵的账户。

一旦一个软件包被接管，其 PKGBUILD 或 .install 脚本就会被编辑，以便在构建期间运行 npm install atomic-lockfile，从而在下载几个合法包作掩护的同时，拉取恶意的 npm 包。这个名为 [email protected] 的包携带一个 preinstall 钩子，该钩子会运行一个捆绑的名为 deps 的 Linux ELF 可执行文件。一旦构建该包，这个二进制程序就会运行。

向 Arch 邮件列表报告的已确认案例包括 alvr 和 premake-git 软件包。

恶意软件做了什么

独立研究人员 Whanos 逆向分析了 deps Payload，并将其描述为一个针对开发者工作站和构建系统的 Rust 凭据窃取程序。它会收集：

基于 Chromium 的浏览器（Chrome， Edge， Brave 及更多）中的 Cookies，令牌和本地存储
Electron 应用中的会话数据，包括 Slack， Discord 和 Microsoft Teams
GitHub， npm 和 HashiCorp Vault 的令牌，以及 OpenAI/ChatGPT 的承载令牌内容和账户元数据
SSH 密钥， known_hosts 文件以及 shell 命令历史记录
Docker 和 Podman 的凭证，以及 VPN 配置文件

被窃取的文件通过 HTTP 发送至 temp.sh 服务。命令与控制通过本地环回代理连接至一个 Tor 洋葱服务。

为了实现持久化，它会安装一个 Restart=always 的 systemd 服务。若以 root 身份运行，它会将自己复制到 /var/lib/ 目录下，并在 /etc/systemd/system/ 下写入一个服务单元文件；若以普通用户身份运行，则使用主目录并在 ~/.config/systemd/user/ 下写入一个用户级服务单元文件。无论如何，它都希望自己能再次运行起来。

早先的报道高估了这个 eBPF 内核态 Rootkit。它是可选的，并且只有在二进制文件本身已获得 root 权限并拥有相应能力时才会加载。它不是用来提权的。当它确实被激活时，它会使用名为 hidden_pids， hidden_names 和 hidden_inodes 的被固定（pinned）的 BPF 映射，来隐藏恶意软件自身的进程，进程名和套接字 inode，使其不被标准工具发现，并会杀死任何尝试附加调试器的操作。

这改变了清理建议。一旦载荷运行完毕，仅仅移除 AUR 软件包是不够的。软件包管理器可以移除它所知道的文件。但在一个有 Rootkit 能力的载荷获得执行机会之后，它无法证明机器是干净的。

该二进制程序还部署了第二个与 monero-wallet-gui 相关的文件，分析人员认为这可能是一个尚未分析的挖矿程序（cryptominer）。一个粗暴的信息窃取程序上附加了 eBPF 内核态 Rootkit，这很不寻常，也正是这个恶意软件不应被轻视的原因。

攻击范围和第二次攻击波次

Sonatype 的第一篇文章统计了超过 20 个被劫持的包。在一天之内，社区追踪者和 Arch aur-general 邮件列表讨论帖已经列出了超过 400 个，其中一份通过 grep 搜索 AUR git 镜像库整理的主列表显示大约有 408 个，而汇总列表中的数字还在攀升。

在从软件源（registry）被移除之前，恶意 npm 包 atomic-lockfile 本身在 Socket 上仅显示每周 134 次下载，因此实际的威胁暴露途径是 AUR 构建路径，而非 npm 安装。

第二次攻击波次使用了 bun install js-digest，由另一组社区追踪者认定其与 atomic-lockfile 的 npm 发布者相同的账户推送。其载荷是不同的二进制程序（独立的 ELF 文件，哈希值不同），社区同样将其标记为恶意。

第二次攻击波次扩散的程度仍在统计中。早期的分类列出了几十个软件包，而后来基于 grep 对 AUR 镜像库的搜索返回了高得多的数字（其中可能包括提交被删除而产生的变动）。无论如何，这都不是第一次攻击波次的简单补充，因此请同时检查 atomic-lockfile 和 js-digest。

现在要如何做

Arch 维护人员正在重置恶意提交，封禁相关帐户，并请用户在邮件列表讨论帖中继续报告可疑软件包。

请执行以下操作：

将 6 月 11 日当天或之后安装或更新的任何 AUR 包，与社区包列表和检测脚本进行比对。这些脚本将你的外来包（foreign packages）与已知恶意包集合进行比较。在最近的构建历史和缓存中 grep 检查 npm install atomic-lockfile， bun install js-digest 以及载荷路径 src/hooks/deps。
如果运行了被标记的软件包，请将该主机视为凭据已泄露。轮换窃取程序可能触及的一切：浏览器会话，SSH 密钥，GitHub 和 npm 令牌，Slack，Teams 和 Discord 会话，Vault 令牌，Docker 和 Podman 凭证，以及任何云密钥。
查找持久化机制。检查是否有未知的 systemd 服务（包括系统级服务和 ~/.config/systemd/user/ 用户级服务），以及 /var/lib/ 下是否有异常文件。检查 /sys/fs/bpf/ 下是否存在名为 hidden_pids， hidden_names 和 hidden_inodes 的 BPF 映射。审查出站连接到 Tor 以及上传服务的连接。
如果该软件包以 root 身份运行过，请假定内核态 Rootkit 已存在，并从可信介质重新安装系统。否则，无法信任该系统。
未来，在构建软件包之前，请务必阅读 PKGBUILD 和任何 .install 钩子脚本，特别是对于那些最近才被接管或在长期休眠后突然活跃的软件包。如果你不理解构建说明，请不要安装该软件包。

用于检测的信息，主载荷的 SHA-256 哈希为 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b；完整的指标集（IoC），包括洋葱服务 C2 主机，可在 ioctl.fail 的分析报告中找到。

这种”接管”策略早在 2018 年就曾波及一个被遗弃的 PDF 查看器软件包；2026 年的版本只是将其规模扩大，这是一场更广泛的软件供应链攻击系列的一部分，即劫持孤儿项目以继承其信任，而不是通过仿冒域名等 typo-squatting（相似域名抢注）来欺骗用户。受影响列表仍不完整，且尚未分配 CVE；Sonatype 将该活动追踪为 Sonatype-2026-003775（CVSS 评分 8.7）。

这次攻击之所以得逞，是因为 AUR 仍然信任一个软件包的名称和历史，而不是其当前的维护者是谁。一个最近被接管的软件包，或者一个突然增加新安装钩子的软件包，现在应该得到与来自陌生人的软件包同等的怀疑。

原文：https://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html

END –

感谢阅读，如果觉得还不错的话，动动手指给个三连吧～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事骨哥说事骨哥说事《超400个Arch Linux软件包遭劫持，部署窃密程序与eBPF Rootkit》