黑客盯上ArchLinux用户:超20个AUR软件包被植入了后门

admin
admin
admin
0
文章
0
评论
2026-06-16 04:41:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全公司Sonatype披露代号为AtomicArch的攻击活动,黑客通过接管ArchLinux社区仓库(AUR)中被遗弃的软件包,在PKGBUILD构建脚本中植入后门,利用eBPF技术隐藏恶意行为并窃取用户凭证,常规卸载无法清除,建议用户检查更新日志并谨慎使用来源不明的AUR包。 综合评分: 85 文章分类: 恶意软件,供应链安全,Linux安全,漏洞分析,安全运营

cover_image

黑客盯上Arch Linux用户:超20个AUR软件包被植入了后门

小雪 小雪

看雪学苑

2026年6月15日 17:59 上海

在小说阅读器读本章

去阅读

安全研究公司Sonatype近日披露了一起代号为“Atomic Arch”的恶意攻击活动。黑客没有直接攻击Linux内核,也没有爆破用户密码,而是选择了一条更隐蔽的路——钻了开源社区“软件包所有权转移”流程的空子。

01

被遗弃的软件包,成了最佳跳板

AUR是Arch Linux生态中非常重要的一个社区仓库,里面大量软件包由志愿者维护。当一个维护者不再更新自己的项目时,这个软件包会被标记为“orphaned”(被遗弃的)。

此时,其他开发者可以申请接管它。平台允许所有权转移,同时保留原包名和历史记录——这本是开源社区常见的良性机制,但在Atomic Arch攻击中,它被彻底武器化了。

攻击者盯上了那些曾经被信任、如今无人维护的软件包,申请成为新主人。用户在使用yay或paru等AUR助手更新时,完全不会意识到软件包已经换了东家。

02

不碰源码,只改构建脚本

Sonatype的工程师Eyad Hasan最早发现了异常。进一步调查显示,攻击者并没有修改软件本身的源代码,而是改动了一个叫 PKGBUILD 的配置文件。

PKGBUILD是Arch Linux构建软件包的核心脚本。攻击者在其post-install(安装后脚本)中悄悄插入了一条命令:

bash

npm install atomic-lockfile minimist chalk

这条命令会从公共npm仓库下载一个名为 atomic-lockfile 的依赖包。表面上看起来,它只是一个普通的JavaScript依赖,但实际上,这才是真正的恶意载荷。

研究人员指出,被劫持的原始软件包本身代码完全干净,这也是传统基于特征码的杀毒软件完全无法发现威胁的原因。Sonatype将该恶意依赖标记为 Sonatype-2026-003775,CVSS评分高达 8.7(高危)。

03

eBPF技术加持,恶意程序藏入系统底层

更棘手的是后面的动作。

Sonatype研究员Adam Reynolds分析了atomic-lockfile包后发现,其中捆绑了一个Linux原生二进制可执行文件。在package.json脚本的preinstall阶段,这个二进制文件会被触发,并利用Linux内核中的eBPF技术加载第二阶段的载荷。

eBPF原本是Linux内核用于安全监控、网络过滤等场景的高效技术,但在这里被用来加载一个名为 scales.bpf.c 的代码文件。这个文件赋予了恶意程序接近rootkit的能力:

  • 劫持系统调用:当用户或安全工具执行ls或查找文件时,它能够动态过滤结果,隐藏自己的进程和文件;
  • 反调试检测:主动识别系统是否运行了代码调试器或安全分析工具,一旦发现就停止恶意行为;
  • 凭证窃取:定向收集GitHub密钥、SSH私钥、HashiCorp Vault令牌、浏览器Cookie,以及Slack、Discord、Microsoft Teams、Telegram等通讯工具的本地数据。

所有窃取到的数据,最终通过内置的Web上传工具直接发送到攻击者控制的服务器。

04

普通卸载没用,系统已被深度渗透

研究人员特别提醒:即使你后来删除了那个被劫持的AUR软件包,恶意载荷一旦通过eBPF驻留在内核层面,常规的卸载操作根本无法清除。

这一技术手法与早前曝光的“IronWorm”攻击活动高度相似,不过截至目前,Sonatype尚未将Atomic Arch明确归因到任何已知的黑客组织。

05

我应该怎么做?

如果你正在使用Arch Linux或基于Arch的发行版(如Manjaro、EndeavourOS),建议立即采取以下措施:

1. 检查已安装的AUR软件包,回顾近期是否有过大规模更新;

  1. 查看/var/log/pacman.log,确认是否执行过涉及npm install atomic-lockfile的命令;

  2. 暂勿使用来路不明的AUR包,尤其是长期无人维护后又突然更新的项目;

  3. 考虑使用本地沙箱或容器环境运行高风险的AUR软件;

  4. 关注Sonatype等安全机构的后续披露,获取恶意包的完整黑名单。

开源社区的信任链,正被攻击者以更精细的方式逐环击破。不光是npm、PyPI、RubyGems,连Linux发行版自己的社区仓库,也不再是绝对安全的净土。

资讯来源:Sonatype安全研究报告 / Hackread.com

球分享

球点赞

球在看

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 小雪 小雪《黑客盯上Arch Linux用户:超20个AUR软件包被植入了后门》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0