Arch Linux 用户软件仓库 AUR 近期遭遇恶意攻击,超过 400 个软件包被植入恶意代码,构成安全风险。
攻击者利用一个 Rust 编写的二进制程序,旨在窃取开发者敏感信息。若获得 root 权限,该程序还会加载 eBPF Rootkit 以隐藏自身活动。攻击手段隐蔽,仅修改了软件包的构建脚本,未更改原有名称和历史记录,极难被察觉。
Arch Linux 用户软件仓库 AUR 近期遭遇恶意攻击,超过 400 个软件包被植入恶意代码,构成安全风险。
攻击者利用一个 Rust 编写的二进制程序,旨在窃取开发者敏感信息。若获得 root 权限,该程序还会加载 eBPF Rootkit 以隐藏自身活动。攻击手段隐蔽,仅修改了软件包的构建脚本,未更改原有名称和历史记录,极难被察觉。
该恶意程序能够窃取多种敏感数据,包括 Chrome、Edge 等浏览器的 Cookie、Token 及本地存储信息,Electron 架构应用的会话信息,以及 SSH 密钥、GitHub 凭证、OpenAI / ChatGPT Bearer Token 等,并将这些信息上传至 temp.sh。
此次事件对依赖 AUR 进行软件安装和管理的 Arch Linux 用户构成了直接威胁,尤其是有开发者在此环境中工作的用户,建议用户保持警惕,并关注 Arch Linux 官方的安全通报及后续修复措施。