文章总结： ArchLinux用户仓库（AUR）中超过400个软件包被植入Linuxrootkit和信息窃取恶意软件，攻击者通过伪装可信发布者修改PKGBUILD脚本，注入恶意npm包atomic-lockfile。该恶意软件窃取开发者凭证、浏览器数据及通信工具信息，并利用eBPF技术隐藏进程。建议用户更换所有凭证并考虑重装系统，仅使用活跃维护的软件包。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞预警,解决方案,安全运营

400多个Arch Linux 包受陷，用于推送 rootkit、信息窃取器

Bill Toulas Bill Toulas

代码卫士

2026年6月15日 17:15 北京

在小说阅读器读本章

去阅读

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

近期，开源情报社区IFIN披露称，Arch Linux用户仓库（AUR）中超过400个软件包正在分发Linux rootkit和信息窃取恶意软件。

攻击者通过伪装成AUR平台上的可信发布者，向受感染的软件包中植入了恶意代码。AUR是Arch Linux发行版中由社区维护的核心仓库，包含软件包的构建脚本（PKGBUILD），但由于并非经过严格审查，威胁行动者能够利用所有权变更不易被察觉的漏洞来推送恶意软件。

根据该开源情报社区成员Michael Taggart的分析，受感染的软件包通过修改预安装脚本，下载并执行了一个名为atomic-lockfile的恶意npm包。独立安全研究员Whanos指出，该npm包中包含一个名为“deps” 的Linux ELF载荷，具备凭证窃取功能，并可选择启用仅限root权限的eBPF rootkit能力。该恶意软件主要针对开发者工作站和构建环境，窃取浏览器数据、Electron应用信息、Slack、Microsoft Teams、Discord、GitHub、npm、Vault、Docker/Podman、SSH、VPN材料、shell历史记录以及其他本地开发者机密信息。借助eBPF技术，恶意软件能够在内核中运行并隐藏自身进程。另据Sonatype公司的报告，攻击者还劫持了至少20个AUR上的无人认领包，通过修改PKGBUILD文件添加后安装脚本，调用npm获取并安装恶意包。

Sonatype公司报告称，该Linux二进制文件明确具有信息窃取功能，针对以下类型的敏感信息：GitHub凭证、SSH工件、HashiCorp Vault令牌、浏览器cookie数据库、Slack数据、Discord数据、Microsoft Teams数据、Telegram数据。此外，该二进制文件能够对数据进行归档、处理多部分文件并执行HTTP上传，具备典型的数据外传能力。

目前，AUR维护者正在识别并移除所有恶意提交，同时封禁推送这些软件包的账户。Arch Linux官方建议用户仅信任更新频繁且有活跃社区维护的项目，并查阅受影响软件包列表及入侵指标。如发现受感染的软件包，用户应更换所有凭证，并考虑从头重新安装Arch Linux系统，因为rootkit可能无法通过常规清理手段彻底清除。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

GitHub 推出 npm 安全变更，对抗供应链攻击

最新软件供应链事件概览：Red Hat npm 包遭劫持；投毒 Claude Code；OpenAI Codex 认证令牌被盗

TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件

自动化供应链攻击6小时内攻陷5561个 GitHub 仓库

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

GitHub 内部仓库疑遭未授权访问，TeamPCP 据称正在出售 GitHub 内部源代码

奇安信Qcode Agents重磅升级，正式解锁操作系统级漏洞挖掘能力

Grafana 令牌被盗，GitHub 环境可遭访问且代码库被下载

TeamPCP再发动供应链攻击；数百个恶意包被上传，RubyGems 暂停新账号注册

Checkmarx 再遭攻击，Jenkins AST 插件受陷

Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报

Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险

自传播供应链蠕虫劫持 npm 包，窃取开发人员令牌

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

原文链接

https://www.bleepingcomputer.com/news/security/over-400-arch-linux-packages-compromised-to-push-rootkit-infostealer/

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Bill Toulas Bill Toulas《400多个Arch Linux 包受陷，用于推送 rootkit、信息窃取器》